[net-hacking] Вопросы по сетям

[Bruteroid]

Всем привет, не понимаю, почему неправильно работает cve-2018-13379.py и fortigate.py. Первый работает, если в текстовике 1-10 хостов которые надо просканить, если больше, он начинает останавливаться и через ctrl + c продолжает работу, но также ненадолго, а fortigate.py просто сканит все хосты очень быстро и нет ни одного валида (команда: fortigate.py -i IP.txt -t 20 -o valid.txt -c y
Подскажите, как пофиксить?

Столкнулся с такой же проблемой,fortigate сканил всю ночь,но ни однго уязвимого хоста так и не поймал. Сдаётся мне,что поздновато уже долбить эту уязвимость.

 

[anubis_050]

Такой вопрос, на DC через GPO пытаюсь сделать задачу, чтобы открывалась cmd и отрабатывала команду, чтоб запустился софт. Сам софт закидываю в sysvol/scripts/ в итоге когда делаю gpupdate //force пишет что политики применил, ошибок нет но софт не запускается , подскажите пожалуйста в чем проблема

 

[IIIIXX]

Такой вопрос, на DC через GPO пытаюсь сделать задачу, чтобы открывалась cmd и отрабатывала команду, чтоб запустился софт. Сам софт закидываю в sysvol/scripts/ в итоге когда делаю gpupdate //force пишет что политики применил, ошибок нет но софт не запускается , подскажите пожалуйста в чем проблема

когда создаешь задачу, в аргументы путь до нетлогона указываешь или до скриптс?

/c \\yourdomain\netlogon\

 

[anubis_050]

когда создаешь задачу, в аргументы путь до нетлогона указываешь или до скриптс?

/c \\yourdomain\netlogon\

да указывал, в sheduled tasks, actions делаю create, потом указываю cmd.exe и потом указываю путь к файлу. Но почему то у меня нет вкладки general

 

[IIIIXX]

да указывал, в sheduled tasks, actions делаю create, потом указываю cmd.exe и потом указываю путь к файлу. Но почему то у меня нет вкладки general

возможно что то мешает запустить
попробуй чет проще запустить и понять проблема в самом исполняемом файле или в создании таски

 

[Dropbear]

решил проблему? У меня аналогичный случай.
Пытался несколько раз запустить кейлогер во всей сетке через GPO, gpupdate /force прописывал, но ничего не происходило. Час просидел, кейлогер так нигде и не запустился. В чем могут быть проблемы?
Пробовал и crate и update.

У меня бывало такое раз, но тогда тачки и в том числе и дк крутились на hyperv и стоял софос. Софос я кикнул на дк онли, на остальных машинах нет. И через гпо нихера также не запустилось в том числе и на дк. Также могут быть траблы что запускать надо именно с пдк, если в сетке не один дк. Ну на дк я кикнул софоса, а в итоге и на дк не запустился софт. Мб как-то связанно то что тачки на гиперв крутятся. На вмвейр с таким проблем не было ни разу

 

[Dropbear]

Спасибо за ответ. Пришел к выводу что ГПО х#йня.

Есть аналог? Ну такое редко бывает очень. гпо удобно, когда воркеры включились и по них твой софт запустится. Допустим некоторые пк выключенные в домене, а софт твой надо запустить на них

 

[Dropbear]

На счет аналогов - без понятия. Я подозреваю, что я сам делаю что-то не так поэтому ГПО и не запускает мой софт.
1. Заходим в редактор групповой политики
2. Ищем наш домен, изменяем дефолтную групповую политику.
3. User Configuration > Preferences > Control Panel Settings > Scheduled Tasks
4. Создаем новую задачу, Action - Create, program - cmd.exe, аргумент - вводим аргумент (/c \\domain\netlogon\app.exe)
предварительно нужно через ДЦ закинуть приложение в sysvol\sysvol\script.
5. gpupdate /force

по логике - все, но нихуя не происходит с ЛЮБЫМ софтом))

У меня всё работает. Как писал выше онли раз такое было. Ну кроме авера надо через гпо отключить защитник во всем домене еще и все его там компоненты типа риал-тайм-протекшн

 

[Dropbear]

ну и х#йня. заебешься это делать на 500 серверах (к примеру)
тогда лучше по старинке, как я, через шары (не клиппер конечно запускать)
а то мне пару человек сказали, что через шары работать - это прошлый век и лучше всех - это ГПО, а на деле..

Какие 500 серверах? Ты на дк одном правило создаешь по защитнику и линкуешь это правило к домену лол. И защитник оффается во всем домене

 

[Dropbear]

имелось ввиду на 500 серверах отключить ав.
я понимаю, что нужно искать панель с ав, но это гемор не меньше, чем отключать ав на 500 серверах руками.

Как ты по софосу, касперскому отключишь на одном серваке. С этими аверами надо панельку искать, потому как там для всех серверов настройки применяются. Мб я не знаю обхода и такое возможно. Но панель не так сложно найти авера. Даже по имени хоста часто находится панелька

 

[Dropbear]

С касперским у меня никогда проблем не было. Я бы даже сказал, что проблем с отключением ав вообще нет, кроме софоса.
Попробуй использовать RevoUninstaller

Я его пробовал по началу. Первый авер был тренд микро на пароле. Не помогло даже с ребутом сервака. То есть даже на пароле этот софт удаляет авер как бы. Просит ребут. Но даже после ребута он выжил. У многих аверов стоит функция по дефолту типо самозащиты. И увы этот софт не справляется. А перезагружать сервак это дело такое, я бы сказал ну его нахуй

 

[Dropbear]

Странно. Мне он помогал очень часто. Даже если вспомнить последний таргет - там был ав F-Secure.
он мне позволил закинуть на сервер процесс хакер и RevoUninstaller. по итогу перед удалением через RevoUninstaller - я завершил все процессы этого ав (они появлялись вновь спустя 5 секунд), но мне хватило этих 5 секунд, чтобы удалить этот ав без каких либо проблем.

Ну убивать процессы перед удаления не пробовал как-то. Ну процесс хакер мб авер ругатся, а на process explorer никогда. Ну попробую вручную оффать процессы. Ну ты писал что во всем домене софт не запускается. Вот допустим по софосу кикнул авера на одном хосте дк, а на других серваках аверы не оффнуты и поэтому там авер мб и не ругатся вовсе на твой софт, а просто блокировать его запуск. Поэтому надо имено через панельку на всех серваках отключать аверы. Хотя тачки на гиперах крутятся почти все в корпах. Если до гипера добрался и с авером ебатся не надо сильно по сути

 

[Dropbear]

Добавлю что аверы мониторятся через панельку. И если кикнул на одном хосте, админ или тот лось, кто админит панель авера увидят что на таком-то хосте авер потух или ругался на файл такого-то времени в такой-то день. Поэтому надо там тихо всё делать. Еще с касперким было, что модуль сети или защита сети (т.д т.п точно не помню как называется) был включен и если авер оффать даже через само приложения на сервере и не отлючить этот модуль сервак уходит в офф

 

[anubis_050]

На счет аналогов - без понятия. Я подозреваю, что я сам делаю что-то не так поэтому ГПО и не запускает мой софт.
1. Заходим в редактор групповой политики
2. Ищем наш домен, изменяем дефолтную групповую политику.
3. User Configuration > Preferences > Control Panel Settings > Scheduled Tasks
4. Создаем новую задачу, Action - Create, program - cmd.exe, аргумент - вводим аргумент (/c \\domain\netlogon\app.exe)
предварительно нужно через ДЦ закинуть приложение в sysvol\sysvol\script.
5. gpupdate /force

по логике - все, но нихуя не происходит с ЛЮБЫМ софтом))

да я так же делал, хз в чем проблема, буду разбираться. Но изначально там должно вылетать окно перед action - GENERAL и там надо ставить start programm)

 

[anubis_050]

Добавлю что аверы мониторятся через панельку. И если кикнул на одном хосте, админ или тот лось, кто админит панель авера увидят что на таком-то хосте авер потух или ругался на файл такого-то времени в такой-то день. Поэтому надо там тихо всё делать. Еще с касперким было, что модуль сети или защита сети (т.д т.п точно не помню как называется) был включен и если авер оффать даже через само приложения на сервере и не отлючить этот модуль сервак уходит в офф

тоже с этим сталкивался, обычно когда авер не напряжный, psexec->ip,list->wmic и вообще сказка получается))

 

[Dropbear]

тоже с этим сталкивался, обычно когда авер не напряжный, psexec->ip,list->wmic и вообще сказка получается))

Я никогда так не делаю. Даже допустим авера нету. Если хостов много и там защитник включен, то заебешся по хостам ходить и отключать всё вручную. Поэтому через псехэк как по мне не актуально вовсе

 

[anubis_050]

Я никогда так не делаю. Даже допустим авера нету. Если хостов много и там защитник включен, то заебешся по хостам ходить и отключать всё вручную. Поэтому через псехэк как по мне не актуально вовсе

powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true в батник и так же отключит дефендер. Ну а так я с тобой полностью согласен, что лучше делать все через GPO

 

[Dropbear]

powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true в батник

Вот с батниками надо тестить раз уж об этом пошло. Некоторые батники актуальные под сервера 2012-2016 не работают на 2019 для отключения дефендера и его компонентов. И даже там от билда зависит. На некоторых билдах такой пш скрипт не отключит дефендер или его компоненты

 

[Shocker]

Такой вопрос, на DC через GPO пытаюсь сделать задачу, чтобы открывалась cmd и отрабатывала команду, чтоб запустился софт. Сам софт закидываю в sysvol/scripts/ в итоге когда делаю gpupdate //force пишет что политики применил, ошибок нет но софт не запускается , подскажите пожалуйста в чем проблема

С PDC запускаешь?

 

[anubis_050]

С PDC запускаешь?

Да