приветствую. вобщем, как быть с этим чудом? я так понимаю, что его нужно сносить и потом делать ребут сразу, иначе он отправит тачку в перманентный даунито.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
AV\EDR CrowdStrike
- Автор темы Premium
- Дата начала
Сносить EDR продукт - самое палево. В консольке админа будет эвент что машина X в оффлайне,
и агент на ней не работает. Сразу такой хост уходит в IT на проверку. Проще всего просто прокинуть реверс сокс к себе, и уже весь арсенал использовать у себя через проброс, а не тянуть всю эту шляпу на хост. Ну или если очень надо, на крайняк ставить контейнер Docker на тот хост с тем же Kali, и уже в его пространстве запускать всё что нужно.
и агент на ней не работает. Сразу такой хост уходит в IT на проверку. Проще всего просто прокинуть реверс сокс к себе, и уже весь арсенал использовать у себя через проброс, а не тянуть всю эту шляпу на хост. Ну или если очень надо, на крайняк ставить контейнер Docker на тот хост с тем же Kali, и уже в его пространстве запускать всё что нужно.
- Автор темы
- Добавить закладку
- #3
мануал есть, как это сделать?
Их мало?)
PayloadsAllTheThings/Methodology and Resources/Network Pivoting Techniques.md at master · swisskyrepo/PayloadsAllTheThings
A list of useful payloads and bypass for Web Application Security and Pentest/CTF - swisskyrepo/PayloadsAllTheThings
github.com
Tunnelling For Offensive Security
One thing that comes up a lot when it comes to red teaming, penetration testing and breaching a network is being able to proxy traffic into multiple environments.
blog.zsec.uk
- Автор темы
- Добавить закладку
- #5
Их мало?)
PayloadsAllTheThings/Methodology and Resources/Network Pivoting Techniques.md at master · swisskyrepo/PayloadsAllTheThings
A list of useful payloads and bypass for Web Application Security and Pentest/CTF - swisskyrepo/PayloadsAllTheThingsgithub.com
Tunnelling For Offensive Security
One thing that comes up a lot when it comes to red teaming, penetration testing and breaching a network is being able to proxy traffic into multiple environments.
я может чего-то не догоняю, но как через сокс снять дамп с lsass при живом CS?
Вопрос уместен. Но встречный вопрос будет - нахуа?
С машины где установлен EDR, мутить. Намного проще будет найти "рядом"
какой нибудь хост вроде файл сервера/шару на 2012 винде, поднять всё что
надо там, и идти дальше. Если прямо без вариантов, смотрим технику BYOVD.
Не буду давать детали по разным причинам, но за день можно поднять арсенал который будет бить
User > Local Admin, за второй день Local Admin > SYSTEM, ну а далее по навыкам. Первую наводку дал.
С машины где установлен EDR, мутить. Намного проще будет найти "рядом"
какой нибудь хост вроде файл сервера/шару на 2012 винде, поднять всё что
надо там, и идти дальше. Если прямо без вариантов, смотрим технику BYOVD.
Не буду давать детали по разным причинам, но за день можно поднять арсенал который будет бить
User > Local Admin, за второй день Local Admin > SYSTEM, ну а далее по навыкам. Первую наводку дал.
- Автор темы
- Добавить закладку
- #7
спасибо, общее направление понял.
pm me your tox with price info
TOX: A5852A300E402AD8AA973E1147D024FFE7DCF34BCC203C7B9DFB8560A3B10361000000000003