AV\EDR AV панель

ioioio777 · 03.04.2022

Подскажите пж, как можно найти АВ панель в сети, если она висит на стандартном порту и не выделяется на фоне других веб сервисов? Спасибо

ipv8 · 03.04.2022

Ты в правильном направлении.
Просканируй всю сеть развернуто, по всем портам отвечающие за прием от клиентов АВ.
На оф сайте АВ найдешь все порты которые нужны.

Kewin · 03.04.2022

Попробуй снять всю историю браузеров через brview. Возможно там будет что-то интересное,

ioioio777 · 03.04.2022

ipv8 сказал(а):

Ты в правильном направлении.
Просканируй всю сеть развернуто, по всем портам отвечающие за прием от клиентов АВ.
На оф сайте АВ найдешь все порты которые нужны.

Это, конечно, хорошо, но что делать если АВ панель висит на 80 порту? Метод перебора возможен в маленьких сетях, а если сеть большая?

Dropbear · 03.04.2022

Если веб панель, тот тут только один вариант Nmap -p 80

ioioio777 сказал(а):

Метод перебора возможен в маленьких сетях, а если сеть большая?

Сеть интернет будешь сканить?)

ioioio777 · 03.04.2022

Dropbear сказал(а):

Сеть интернет будешь сканить

неа)

Dropbear · 03.04.2022

ioioio777 сказал(а):

неа)

Ну так даже если сеть большая, то на один порт нмап довольно быстро просканит при мощном железе и шустрым инетом

Whisper · 03.04.2022

Dropbear сказал(а):

Ну так даже если сеть большая, то на один порт нмап довольно быстро просканит при мощном железе и шустрым инетом

Для этого нужно нмап протащить внутрь. Иначе быстрый инет должен быть с обеих сторон, опять же если 80й порт то как то грустно.
А если на таргете мониторить уникльные соеденения не выходящие за пределы локалки?
Просто самому интересно, про разные подходы. Как правило решает бравзер граб, но снять граб с большого количества машин даже имея автоматизацию в этом вопросе не всегда просто, бывает что сотня тачек а нужные линки и креды только на одной, и то линк может быть не в виде ип а какое то имя, и когда таких линков тебе вагон насыпало то найти среди них нужный тоже задача.

seidziwhitehat · 05.04.2022

Whisper сказал(а):

Для этого нужно нмап протащить внутрь. Иначе быстрый инет должен быть с обеих сторон, опять же если 80й порт то как то грустно.
А если на таргете мониторить уникльные соеденения не выходящие за пределы локалки?
Просто самому интересно, про разные подходы. Как правило решает бравзер граб, но снять граб с большого количества машин даже имея автоматизацию в этом вопросе не всегда просто, бывает что сотня тачек а нужные линки и креды только на одной, и то линк может быть не в виде ип а какое то имя, и когда таких линков тебе вагон насыпало то найти среди них нужный тоже задача.

80 порт - совсем не грустно, если там не прекручен ssl. Потому как очень легко снифнуть креды

tuda · 05.04.2022

как их снифать?

y2k4c3 · 05.04.2022

The AV panel can be also on Cloud. Most of the companies use on premise AV Panel and you need to sniff the traffic of a station but using something like opensnitch that is monitoring specific apps for outgoing traffic.

seidziwhitehat · 05.04.2022

tuda сказал(а):

как их снифать?

Просто пассивно слушаешь траф и ждешь пока админ залогинится в панель, это сработает если к панели не прикручен ssl(что достаточно редкий случай)
Еще можно посмотреть в сторону мисконфигов самой панели, если там нормально не настроен HSTS - можно через mitm редиректнуть админа на фиш панель.

AV\EDR AV панель

ioioio777

Конвертирую ваши доступы в деньги.

ipv8

HDD-drive

Kewin

HDD-drive

ioioio777

Конвертирую ваши доступы в деньги.

Dropbear

(L2) cache

ioioio777

Конвертирую ваши доступы в деньги.

Dropbear

(L2) cache

Whisper

TPU unit

seidziwhitehat

RAID-массив

tuda

(L3) cache

y2k4c3

HDD-drive

seidziwhitehat

RAID-массив