Прошу помощи, посоветуйте способы отключения/удаления Sophos Endpoint без перезагрузки. Права домен админа есть.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
AV\EDR [HELP] Обход/отключение sophos
- Автор темы coree
- Дата начала
Берешь находишь сервер панели, либо сканишь на порт 443 нмапом рейндж сетки. Смотришь где висит панелька. Заходишь на DC. cmd команда net group\ Там чекай названия типа Sophos managment или sophos admins и т.д. Потом смотришь кто там из админов в этой группе. net group "sophos admins" Обычно под кредами админа пускает, но если нет перебираешь пассы всех юзеров из группы. Если там двухфакторки конечно нету
4444 порт тоже проверяйте, на всякий случай
+ Sophos Console: 2195,8190,8191,8192,8193,8194,49152-65535
dolgo give BE
+ Sophos Console: 2195,8190,8191,8192,8193,8194,49152-65535
dolgo give BE
Последнее редактирование:
del
- Автор темы
- Добавить закладку
- #5
Через что подключиться к sophos console?
чел, ты уже аверами вторую тему поднимаешь как заметил. И про софос было. Там были по аналогии ответы. Через браузер подключаешся. Найди айпишники панели через нмап и пихай креды что есть от админов
- Автор темы
- Добавить закладку
- #7
Я с тобой согласен, но эта тема больше о методике обхода, а та - об особенностях
Если есть возможность найти приписку к почте (administrator@namecorp.com), в оутлуке глянуть например приписку, и с кредами администратора заходишь на сайт sophoscentral там есть вход по учетке винды,там уже с политиками настраиваешь как тебе нужно или смотришь пароль от каждого хоста и отключаешь защиту
SEDcli.exe -OverrideTPoff <tamper pass>
код на оф сайте под крэдами админа, где их взять? ставь логер ))
код на оф сайте под крэдами админа, где их взять? ставь логер ))
Только идущий осилит дорогу...) методом проб и попыток пробуй, инфы много по этому поводу, только как ты ее применить сможешь в этой проблеме, все зависит только от тебя)
- Автор темы
- Добавить закладку
- #11
Проблема решилась ещё вчера! Парсил я доки, вычислял сисадмина и нашел его заметки с пассами) По большому счету тема закрыта
расскажи пожалуйста мне как это у тебя происходило, узнал ты его лог пасс. в локалке я так понимаю ты еще не был. потом просто через браузер зашел и отрубил все нахуй?
D
- Автор темы
- Добавить закладку
- #13
В сети ихней я уже был, я попал в нее под обычным юзером, собрал хеши админов своим софтом. Затем я ещё раз пересканил сеть и обнаружил личную тачку админа. Далее просто через xfreerdp законнектился и по быстрому скопировал все интересные доки, в них и нашел пассы почти от всех устройств, включая софос. Далее, я через обычный браузер зашёл в лк, двухфакторку обошел благодаря доступу к ихнему exchange.расскажи пожалуйста мне как это у тебя происходило, узнал ты его лог пасс. в локалке я так понимаю ты еще не был. потом просто через браузер зашел и отрубил все нахуй?
Часто можно найти пассы в доках на различных больших шарах, в этом случае надо искать что то с названиями "IT, IT Department, login, password" и тд.
а как ты попал в их сеть? используя дыррки я так понимаю? наврядли юзером туда принес
- Автор темы
- Добавить закладку
- #15
Приведу пример. Есть к примеру уязвимости раскрытия паролей в FortiGate VPN, давно использована всеми, но для примера сойдёт. Обычно, корпоративные vpn связаны с доменом, т.е авторизация происходит через доменного пользователя. В таких случаях достаточно получить пользователь/пароль от vpn через уязвимость и будет низкоуровневый доступ к домену. Иногда везёт, и среди юзеров в vpn попадается админ этого самого домена. Часто на обычных юзерах, найденных в vpn, висят права на rdp. Дальше уже дело повышения привилегий.
Такое лёгкое проникновение возможно за счёт лени админа создать отдельного юзера под vpn, без прав вообще.
а зачем им в локалке делать корп впн, или это уже другой случай, когда они обьеденяют между собой их сети с разных мест? а вы туда уже проникаете
я правильно понял?