Comments 82
Необходимо иметьНа этом пост в блоге «Информационная Безопасность» можно было бы и закончить )
* Пользователя в AD с правами локальных админов (или просто знать пароль от локальных админов)
Но за реализацию плюс.
Просто, как показывает практика, не все понимают последствия того, что дают кому-то там «право ставить ПО в свою систему самому».
Вот оригинальный пример последствия.
Вот оригинальный пример последствия.
Просто, как показывает практика, не все понимают последствия того, что… кто-то начинает заниматься на работе подобными вещами. Хорошо если просто уволят.
«не все понимают последствия того, что дают кому-то там «право ставить ПО в свою систему самому».»
А у кого-то есть выбор?
При нормальной корпоративной политике у пользователя не обязательно есть права локального админа на собственном компьютере; а вот у специально выделенного человека-администратора — есть.
(и пользователь отдает себе отчет, что все его действия подконтрольны администратору, это тоже нормально)
А у кого-то есть выбор?
При нормальной корпоративной политике у пользователя не обязательно есть права локального админа на собственном компьютере; а вот у специально выделенного человека-администратора — есть.
(и пользователь отдает себе отчет, что все его действия подконтрольны администратору, это тоже нормально)
Спасибо за идею отключения лампочки на веб-камере.
О боже… Представил себе, как куча хабровчан бросилась подслушивать разговоры молоденьких бухгалтерш о том, что «вот эта новая от Avon из последней коллекции не сушит губы, а у предыдущей был вкус приятней». Или записывать звуки из директорского кабинета, когда тот пялит на столе секретаршу :)
Во всяком случае метод подходит, когда проходит совещание у начальника в кабинете (а у него не редко либо веб камера для skype, либо ноутбук).
Это не так смешно как кажется ;) Это очень весомо
Это не так смешно как кажется ;) Это очень весомо
Так и вылететь с работы не долго.
Дак надо иметь права локального админа на ноуте начальника, тогда уж… что мягко говоря может вызвать вопросы если вскроется
Дело в том, что эти права (на сколько я понял) распространяются на весь домен, где комп начальника — не исключение.
тогда это не «локальные» права как минимум :) а права полноценного админа АД
UFO just landed and posted this here
Админы без пароля — не работают по сетке, майкрософт давно закрыла доступ из сети с бланк пассвордами
UFO just landed and posted this here
Раз пошло…
Можно поднять у себя простюсенький ftp (например, babyftp), а после «psexec.exe \\target\ cmd» слить на удаленную тачку дистр vlc с помощь виндового ftp.exe.
Можно поднять у себя простюсенький ftp (например, babyftp), а после «psexec.exe \\target\ cmd» слить на удаленную тачку дистр vlc с помощь виндового ftp.exe.
Мде. Имхо, таким статья место на ксакепе, а не здесь :(
UFO just landed and posted this here
Спасибо, Кэп! (с)
Наверное, я упустил момент, с которого стало нормальным плодить говно скрипткиддисов выкладыванием статей по взлому в стиле «нажмите два раза ОК и впишете такие-то и такие-то буковки».
Ничего не имею против обзоров уязвимостей, но без инструкций для домохозяек.
Наверное, я упустил момент, с которого стало нормальным плодить говно скрипткиддисов выкладыванием статей по взлому в стиле «нажмите два раза ОК и впишете такие-то и такие-то буковки».
Ничего не имею против обзоров уязвимостей, но без инструкций для домохозяек.
мне кажется что там, где у инсайдера масса возможностей, мало что брать есть. там где есть действительно нужная/важная/секретная (по выбору) информация — вопросы безопасности решаются нормальными и проверенными способами, и описанный метод просто не даст эффекта.
мало того предполагается владение админскими паролями (локальными или AD), а это уже уровень не просто инсайдера, а инсайдера айтишника обладающего достаточно широкими возможностями и полномочиями и соответственно несущего ответственность и находящегося, скажем так, на особом доверии.
в случае инсайдер=админ нет необходимости использовать psexec, vlc и прочее. доступ к логинскриптам и банальный софт записи аудио с микрофона потока на сетевой ресурс решит вообще все вопросы.
а показанный метод — это метод мелкого шалуна.
мало того предполагается владение админскими паролями (локальными или AD), а это уже уровень не просто инсайдера, а инсайдера айтишника обладающего достаточно широкими возможностями и полномочиями и соответственно несущего ответственность и находящегося, скажем так, на особом доверии.
в случае инсайдер=админ нет необходимости использовать psexec, vlc и прочее. доступ к логинскриптам и банальный софт записи аудио с микрофона потока на сетевой ресурс решит вообще все вопросы.
а показанный метод — это метод мелкого шалуна.
На ксакепе такое не пройдёт :)
Я только недавно столкнулся с виндовыми доменами (Active Direcotory) и познаю много нового и удивительного.правильно — Active Directory
А для запуска влц-сервера сколько файлов надо? PsExec умеет заливать нужный ехе на целевую машину и там его исполнять с определенной командой… :)
Необходимо иметь пользователя в AD с правами локальных админов.
Очень важно минимизировать привилегии пользователей AD.
Либо я чего-то не понимаю, либо… Локальные админы же не смогут прослушивать другие компьютеры, потому что они локальные. Себе же права Вы все равно не отберете. Ну не отберете ведь?
В смысле это такие пользователи в AD, которые имеют привилегии админа рабочей станции на всех компьютерах домена. Обычно включают, подразумевая что они будут сидеть только на своем рабочем месте и настраивать только свою машину.
Вообще правильным было бы не давать доменного админа пользователю, а локального на определенной машине… не?
Хз, возможно ли так… выбрать машину именно в которой ты будешь иметь определенные привилегии…
Я далек от AD, я линуксойд.
Да и все же, некоторым ролям в организации надо иметь такие привилегии, например, которые занимаются тем или иным сапортом. Этот вопрос, конечно, спорный и решается по ситуации.
Я далек от AD, я линуксойд.
Да и все же, некоторым ролям в организации надо иметь такие привилегии, например, которые занимаются тем или иным сапортом. Этот вопрос, конечно, спорный и решается по ситуации.
Можно. Открывается оснастка с пользователями на локальной машине. В ней находится искомый пользователь домена и добавляется в локальную группу администраторов.
Вообще, я думал так все и делают, когда дают локального админа.
Ну админ он у себя на машине. Какой вред он может причинить другим машинам, где он не админ?
Ну админ он у себя на машине. Какой вред он может причинить другим машинам, где он не админ?
Я попробовал, но после нескольких перезагрузок добавленная запись исчезает. Также исчезает после gpupdate /force
Подскажите, пожалуйста что нет. Предложенный Вами метод по идее и есть решение, но вот так вот не работает.
Подскажите, пожалуйста что нет. Предложенный Вами метод по идее и есть решение, но вот так вот не работает.
Просто у вас в групповых политиках стоит ограничение на локальных админов (по умолчанию его кстати нет) — скорее всего скрипт, «Ограниченные группы» либо что-то из ветки локальных политик регулируют членство через, о чем и говорит применение после gpupdate. Отследите это через GPResult если вам можно. (хмм, не у нас ли вы в домене? :))
Вообще, я тоже юникс-админ. И теперь мне кажется, что даже администратору домена нужно иметь две учётки — администраторскую и обычную.
Бывает иногда необходимость на чужой рабочей станции зайти под своей учёткой. А под администратором домена это делать «не айс». Особенно в том случае, когда на компьютере есть свой локальный админ. А значит, система может быть протроянена предумышленно или завирусована по неосторожности.
Бывает иногда необходимость на чужой рабочей станции зайти под своей учёткой. А под администратором домена это делать «не айс». Особенно в том случае, когда на компьютере есть свой локальный админ. А значит, система может быть протроянена предумышленно или завирусована по неосторожности.
В смысле это такие пользователи в AD, которые имеют привилегии админа рабочей станции на всех компьютерах домена.Это каким же нужно быть админом-идиотом, чтобы в домене всех подряд прописывать в группу, которая включается в локальных админов на всех машинах. Если кого-то нужно сделать админом, то его включат в соответствующую локальную группу на отдельной машине.
Ни в одной нормальной компании/организации такого зашкаливающего дилетантства среди администраторов нет.
Если вы увидите доменного админа, который раздаёт всем подряд админские права на уровне всего AD (Domain Admins) или хотя бы сразу для кучи серверов и рабочих станций, то посоветуйте ему поскорее уволиться и идти домой делать уроки.
Ни один мало-мальски адекватный админ так не делает!
В линуксе работало как-то так:
ssh test@remote dd if=/dev/dsp | dd of=/dev/dsp
Видео пробрасывается не намного сложнее.
ssh test@remote dd if=/dev/dsp | dd of=/dev/dsp
Видео пробрасывается не намного сложнее.
Проверил порт микрофона и заклеил красивой изолентой веб камеру…
Картинка ужасна :)
Когда то написал статью, как получить доступ к коммандной строчке.
Можно таким же способом «впаривать» и vlc и что нибуть иное.
Статья понравилась. Спасибо.
ответить
Можно таким же способом «впаривать» и vlc и что нибуть иное.
Статья понравилась. Спасибо.
ответить
А вот если vlс заменить на кейлоггер, то это куда более интересней будет.
В принципе — да. Это тоже интересно, но они палятся соответствующим ПО (в отличии от vlc). А как делать их беспалевным — вопрос не тривиальный.
Купить аппаратный :)
цена вопроса ~70$ существую всех форм и размеров.
По моему мнению лучший вариант в форме ps/2-usb переходника для клавиатуры.
Если пользователь имеет физический доступ к системнику любые попытки софверной защиты комичны.
цена вопроса ~70$ существую всех форм и размеров.
По моему мнению лучший вариант в форме ps/2-usb переходника для клавиатуры.
Если пользователь имеет физический доступ к системнику любые попытки софверной защиты комичны.
Системные блоки опечатаны, учетки ограничены, bios запоролен.
Купля/продажа аппаратных кейлогеров легальна?
Купля/продажа аппаратных кейлогеров легальна?
Системные блоки опечатаны, учетки ограничены, bios запоролен.
Че, вот и клавиатура намертво впаяна, а не тупо воткнута в разьем? :)
Ну и ненужно быть академиком для использования ножа и скотча.
Че, вот и клавиатура намертво впаяна, а не тупо воткнута в разьем? :)
Ну и ненужно быть академиком для использования ножа и скотча.
>Купля/продажа аппаратных кейлогеров легальна?
Кого это волнует? Вы и так нарушаете УК +- статья без разницы :)
Кого это волнует? Вы и так нарушаете УК +- статья без разницы :)
Вы не поверите, имея права локального админа на всех компьютерах, можно вытворять любые чудеса. А сисадминам, которые не умеют грамотно устанавливать права пользователей в AD надо отрывать руки и увольнять.
Извините, конечно, за прямоту, но эта статья не имеет никакого отношения к информационной безопасности.
Это какая-то откровенная профанация для школоты.
1. Причём тут вообще AD и права в AD, если дальше речь идёт про права локального админа на Windows-машине. Зная логин/пароль локального админа, можно точно так же что угодно устанавливать/выполнять на удалённой машине в обычной Windows-Сети без всяких Win-доменов (просто в рабочей группе).
2. Даже если у кого-то есть права локального админа на своей машине, то это совсем не значит, что у него же есть права локального админа на любой другой машине в домене. Т.е. если вы доменную учётку программиста включили в группу BUILTIN\Administrators (локальную группу на его машине), то он будет иметь админские привилегии только на своей машине, и никаких административных действий на машине начальника, бухгалтера или кого-либо ещё выполнить не сможет.
Разве что уйдёт в другой кабинет и будет оттуда слушать микрофон своего компа, но для этого ему и удалённо ничего ставить не нужно, всё можно было запустить сидя локально за своим компом.
3. Если же речь идёт про доменного админа (члена глобальной доменной группы Domain Admins, которая в свою очередь включается в локальную группу BUILTIN\Administrators на всех доменных машинах), то разумеется у него по умолчанию есть админиские права на всех компьютерах в домене.
Но во-первых, такие права кому попало не дают (максимум кому-то из продвинутых юзеров дадут просто локального админа, но никак не доменного). А во-вторых довольно глупо удивляться, что у доменного админа есть такие права. Тут нет никакой уязвимости, раз ему сами сознательно передали такие привилегии.
Ваша статья просто о том, как удалённо с помощью VLC media player передавать изображение с веб-камеры и звук с микрофона по сети. Ни о какой информационной безопасности тут речи не идёт.
Это какая-то откровенная профанация для школоты.
1. Причём тут вообще AD и права в AD, если дальше речь идёт про права локального админа на Windows-машине. Зная логин/пароль локального админа, можно точно так же что угодно устанавливать/выполнять на удалённой машине в обычной Windows-Сети без всяких Win-доменов (просто в рабочей группе).
2. Даже если у кого-то есть права локального админа на своей машине, то это совсем не значит, что у него же есть права локального админа на любой другой машине в домене. Т.е. если вы доменную учётку программиста включили в группу BUILTIN\Administrators (локальную группу на его машине), то он будет иметь админские привилегии только на своей машине, и никаких административных действий на машине начальника, бухгалтера или кого-либо ещё выполнить не сможет.
Разве что уйдёт в другой кабинет и будет оттуда слушать микрофон своего компа, но для этого ему и удалённо ничего ставить не нужно, всё можно было запустить сидя локально за своим компом.
3. Если же речь идёт про доменного админа (члена глобальной доменной группы Domain Admins, которая в свою очередь включается в локальную группу BUILTIN\Administrators на всех доменных машинах), то разумеется у него по умолчанию есть админиские права на всех компьютерах в домене.
Но во-первых, такие права кому попало не дают (максимум кому-то из продвинутых юзеров дадут просто локального админа, но никак не доменного). А во-вторых довольно глупо удивляться, что у доменного админа есть такие права. Тут нет никакой уязвимости, раз ему сами сознательно передали такие привилегии.
Ваша статья просто о том, как удалённо с помощью VLC media player передавать изображение с веб-камеры и звук с микрофона по сети. Ни о какой информационной безопасности тут речи не идёт.
UFO just landed and posted this here
Да, значительной части я с Вами согласен.
Но:
> Но во-первых, такие права кому попало не дают.
Я в живую видел где дают (потому что трудно иначе, например, как говорилось, техникам надо) и в живую видел как так вот снимают информацию.
В теории — да, все красиво, идеально и все идиоты что делают не так. На практике сложнее.
Речь о об уязвимости не шла, а только о не знании. Повторюсь, что в живую видел такую брешь и ее эксплуатирование в организации.
Статья для ознакомления/напоминания. Профилактика.
Но:
> Но во-первых, такие права кому попало не дают.
Я в живую видел где дают (потому что трудно иначе, например, как говорилось, техникам надо) и в живую видел как так вот снимают информацию.
В теории — да, все красиво, идеально и все идиоты что делают не так. На практике сложнее.
Речь о об уязвимости не шла, а только о не знании. Повторюсь, что в живую видел такую брешь и ее эксплуатирование в организации.
Статья для ознакомления/напоминания. Профилактика.
UFO just landed and posted this here
Еще с помощью psexec ,cmd и net send можно отправлять сообщения пользователю от имени его машины)) Может получиться вроде ИИ. Дальше все зависит от уровня фантазии и наличия свободного времени.
Недавно использовал psexec для запуска BSOD ScreenSaver, люди были озадачены))
В принципе достаточно пустить человека на минуту за свой комп и он запустит скрип на создание скрытого пользователя и к примеру установку радмина. А по поводу локального админа в GPO домена есть настройка- залочить всех админов кроме указанных пользователей.
UFO just landed and posted this here
Блин. Написал относительно интересную статейку, собрал 57 плюсов за топик, 123 добавили в избранное.
Но за всю проделанную работу потерял только 2 бала от кармы. Так потеряю вообще возможность писать. Этим меня вообще в последнее время расстраивает хабр.
На инвайт фиг накопишь…
Но за всю проделанную работу потерял только 2 бала от кармы. Так потеряю вообще возможность писать. Этим меня вообще в последнее время расстраивает хабр.
На инвайт фиг накопишь…
А что на маке? А если маки в сети без сервера?
AD тут не причем
vlc.exe dshow:// :dshow-vdev=none :dshow-adev= :dshow-caching=200 :sout=#transcode{vcodec=none,vb=0,scale=0,acodec=mp3,ab=128,channels=2,samplerate=44100}:http{mux=raw,dst=:8080/} :sout-keep
Ваша команда неверная, у меня вот с такой запустилось только.
Ваша команда неверная, у меня вот с такой запустилось только.
Sign up to leave a comment.
Подслушиваем в AD