[net-hacking] Вопросы по сетям

[IIIIXX]

McAffe Есть ли у него админская консоль?Чтот столько продуктов у них, запутался ...

Скорее всего тебе нужен или McAfee ePO (он же McAfee ePolicy Orchestrator), или McAfee Network Security Manager
Порты которые могут быть тебе интересны это в первую очередь10443 и 8443,443, так же 8082 8443 8444 80 8080 8081

 

[DrSleep]

Не знаю какой именно там у тебя, но вот неделю назад встречался с McAfee, и да, консоль была.

Подскажи какой порт и название,или название на декстопе, или скрин хоть из гугла.Спасибо
Поищу пока McAfee ePO (он же McAfee ePolicy Orchestrator), или McAfee Network Security Manager

 

[DrSleep]

По 8433 ненашлось ничего.Так, а есть через PsExec попробовать опросить все компы на наличие папки/файла EPO ?Запустить по всей сетке .
Или через GPO сделать такую задачу, мол если есть на компе такой файл то делаем то-то(как то пишем инфу куда то =) что файл найден
Нашел еще сервис не относящийся к АВ и тд, порт 8433 открыт но конекта нет, зашел по RDP под нужным юзерам, там софт крутится localhost:8433. Так что может быть софт и стоит где-то, но доступ только с локалхоста будет ....

 

[ft9zh1]

Как скомпилировать кернел эксплоит для линукса?На жертве нет вообще никакого компилятора.Мне нужно будет поднимать полноценную виртуалку?

подними стенд с такой же осью и скомпилируй на нем

 

[Shocker]

Подскажи какой порт и название,или название на декстопе, или скрин хоть из гугла.Спасибо
Поищу пока McAfee ePO (он же McAfee ePolicy Orchestrator), или McAfee Network Security Manager

ePO как раз и был. Сервер нашел через сам ав, там в разделе About был IP сервера, если не ошибаюсь. Порт 8443 был.

 

[404_Team]

ePO как раз и был. Сервер нашел через сам ав, там в разделе About был IP сервера, если не ошибаюсь. Порт 8443 был.

Долго искал,все указывало на один серв, но порты закрыты, серв не пингуется.Нашел клиента , сделал как ты написал, а оказалось

Last agent-to-server communication: 5/11/2014 1:14 PM

Так понимаю когда-то давно юзали центральную консоль, но потом отказались и просто ставят АВ на компы.
Есть варианты рабочие?) Буду пробовать Mccleanup.exe закидывать на шару и через GPO запускать.
Попутно нашел NAS Raslogic, на нем дисков на 90ТБ, половина занята.Файлов нет, стоит ActiveBackupForBussines, запустил прилу в NAS эту, там пусто, ничего не подключено...Мб раньше бэкапили туда, потом бросили.

 

[Periphery]

Помогите разобраться с кластером. Суть вопроса:
Сеть на гипер-В, как обычно бывает при логине на хост с панелью гипер-В мы наблюдаем помимо системного диска С:\ ,и большой соседний диск где и висят образы хостов. Тут ситуация иная, кроме системного диска ничего нет, но в диски есть директория ClusterStorage и в ней уже ярлыки папки с образами хостов, и весят они соотвественно много, Сам диск весит штатно(50гб). Как мне дотянуться до них чтоб бы отредактировать? Через шару их не видно, по портам хост правильный. Спасибо за подсказку.

 

[сатоши]

Зачем на скринах закрашивают имена устройств(ПК и прочего) в пути по типу C:\******ws\System32\cmd.exe Стало интересно что можно сделать с именем пк. И понять скрывать имя пк необходимость или просто привычка

 

[404_Team]

Есть ли консольный аналог PowerTools либо GMER ?Нужно в консольном режиме убивать процесс по PID или имени

 

[Dropbear]

Есть ли консольный аналог PowerTools либо GMER ?Нужно в консольном режиме убивать процесс по PID или имени

Если процесс авера, то вряди кикнешь через сmd. Webroot можно снести через cmd, если он без пасса к примеру. Остальные не кикнешь через смд. Я читал маны по такому вопросу, не один вариант не помог. Грузись в безопасном режиме и кикай

 

[404_Team]

Если процесс авера, то вряди кикнешь через сmd. Webroot можно снести через cmd, если он без пасса к примеру. Остальные не кикнешь через смд. Я читал маны по такому вопросу, не один вариант не помог. Грузись в безопасном режиме и кикай

McAffe убивается Gmer и PowerTools(Enterprise,Agent), проверял на серве 2008 и 2003.Осталось найти способ консольного запуска по сетке.

Через CMD не убивается, а вот гмер и повертулз убивает.Есть еще прикольная утилитка ntsd тоже косит без проблем.Но ее ставить надо на каждую систему)

 

[Dropbear]

McAffe убивается Gmer и PowerTools(Enterprise,Agent), проверял на серве 2008 и 2003.Осталось найти способ консольного запуска по сетке.

Через CMD не убивается, а вот гмер и повертулз убивает.

А я и не знал). Зачем тебе на каждом серваке убивать то? На дк отруби главное, а там по шарам пускай и по GPO поставь, писал же выше. Гиперы главное кикни, бэкапы. Зачем на каждом серваке убивать авер. Есть софос синька, он по шарам и по gpo не даст пролочить, а с большинством аверов проходит это. Зачем себе проблемы создавть лишние. Это пипец сколько времени в пустую тратишь

 

[Periphery]

McAffe убивается Gmer и PowerTools(Enterprise,Agent), проверял на серве 2008 и 2003.Осталось найти способ консольного запуска по сетке.

Через CMD не убивается, а вот гмер и повертулз убивает.Есть еще прикольная утилитка ntsd тоже косит без проблем.Но ее ставить надо на каждую систему)

Это не пропатчаный макафи, пропатчаный тебя скинет с рдп сразу как кильнешь процесс и запретит подключение к нему, после ребута хоста только разрештит, но это действие пошлет в админ панель.

 

[404_Team]

Это не пропатчаный макафи, пропатчаный тебя скинет с рдп сразу как кильнешь процесс и запретит подключение к нему, после ребута хоста только разрештит, но это действие пошлет в админ панель.

В том то и дело что админки нет давно, все было бы проще если была.Макафи с последними обновлениями.

А я и не знал). Зачем тебе на каждом серваке убивать то? На дк отруби главное, а там по шарам пускай и по GPO поставь, писал же выше. Гиперы главное кикни, бэкапы. Зачем на каждом серваке убивать авер. Есть софос синька, он по шарам и по gpo не даст пролочить, а с большинством аверов проходит это. Зачем себе проблемы создавть лишние. Это пипец сколько времени в пустую тратишь

Серваки не проблема, но еще же куча рабочих компов на 7/10.Их тоже нужно обработать.Если запустить процесс, то при начале действий на рабочих станциях отработать не получится, АВ загасит софтинку, и сеть будет недоработана.МБ я конечно максималист и сам себе гемор создаю)Но грубо говоря есть 200 компов 10 серверов, нужно все 200 компов бахнуть,а не только 10 серверов.Хотя опыта мало, мб сам себя загоняю.Как ваше мнение на этот счет?

 

[Dropbear]

Это не пропатчаный макафи, пропатчаный тебя скинет с рдп сразу как кильнешь процесс и запретит подключение к нему, после ребута хоста только разрештит, но это действие пошлет в админ панель.

Ну да. Там нужно смотреть какие модули включены.. Если модуль нетворк секьюрити, как в каспере пример, то сервак вообще ляжет

 

[Periphery]

Верно так и будет, АВ в ручную удаляется напомни? Пробуй удалить на одном из хостов АВ через MsiExec.exe /x {кей} /quiet /norestart , если получиться ты в дамках, через псехес по всем хостам
Если важная информация на хостах, то хостов будет достаточно, и дц дхцп в офф накрывать, тогда точно хватит, но это не точно в этом плане могу ошибаться

 

[404_Team]

Почему PSexe, не везде же открыт 135/445 порт.А GPO будет работать по всем хостам.Спасибо, попробую

MsiExec.exe не сработал.

 

[Gotcha0z]

делете

 

[Gotcha0z]

Доступ к vCenter можно найти
1)В текстовиках заметках админа
2)В браузере сохраненные данные
3)Кейлоггер на админском компе и его учетке
4)???
Собственно несколько ESXI в сетке, от одной нашел данные для входа, но там только 1 виртуалка с DC. Пробовал данные на остальные, не подошли.И страницы входа разные
Влияет ли как то в домене ESXI или нет.2 в домене(от одной есть данные) 2 нет.445 порт закрыт, судя по выгрузке Adrecon OS на них Windows XP
Так выглядит куда есть доступ(виртуалка только дц)
Посмотреть вложение 44202

Сюда доступа нет(пробовал через декстоп клиент)
Посмотреть вложение 44203


Какое дальнейшее направление по попаданию в ESXI ?
Я бы попробовал пробрутить все пассы слитые с NTSDIT, через аутентификацию в декстоп приложении.Мб есть брут готовый для этого?
Отрабатывать сеть я так понимаю смысла нет, из-за простого отката к бэкапам воркстанций...Спасибо
P.S. почему страницы входа разные?

софт надо качать есх или вцентр который предлагает на странице и затем попадешь внутрь при наличии паса

 

[404_Team]

Был доступ Proxyshell, пока доступ был скачал NTDS и тд, и отложил сетку на попозже.Время прошло недели 2-3, доступ утерян)Почтовый серв свой отрубили, и перешли на почту майкрософта+ Azure. Так как дит был, можно попасть в акки Azure.Зашел, скачал инфу через o365recon.Помимо моей конторы еще крутится 2 на азуре.Общее ревеню небольшое, около 50кк.
Есть ли способ имея акк азура попасть обратно в сетку?