Пост эксплуатация скомпроментированных Windows систем. Metasploit Incognito
@webware
Всем посетителям форума, доброго времени дня. Сегодня я решил осветить один из встроенных модулей в metasploit framework, о котором мало кто знает и мало кто пользуется, но на самом деле данный модуль позволяет поднять свои привилегии вплоть до администратора домена или предприятия в зависимости от того, как повезет. Для этого данный модуль использует такой тип данных как shell token. Token это своеобразный временный ключ, который позволит получить доступ к системе и сети без необходимости каждый раз вводить учётные данные. То есть при входе администратора на сервер или ПК в системе создается токен с его учетными данными и именно его мы будем пытаться эксплуатировать.
Итак начнем. Поискав в своей корпоративной сети, я для наглядности остановил свой выбор на ПК под управлением WinXP с ip адресом 10.1.134.17. Для начала скомпрометируем систему, используя всем известный ms08_netapi. В качестве атакуещего хоста Kali 2017.3.
Получив активную сессию подгрузим модуль Incognito командой
use incognito
Давайте теперь посмотрим справку по данному модулю:
Функционал обширен, данный модуль позволяет используя токены shell создавать пользователей локальных и глобальных групп, также позволяет управлять системой(а в некоторых случаях и доменом) от имени конкретного пользователя.
Попробуем создать пользователя
Как вы видите пользователь добавлен, но без прав администратора. Попробуем пойти другим путем и посмотрим список всех доступных токенов
Здесь стоит провести небольшой экскурс в теорию:
Delegation Tokens - такой тип токенов создается, при интерактивном использовании системы(подключение RDP)
Impersonation - этот тип создается при не интерактивном сценарии (например вход в домен)
Наш атакуемый не находится в домене, поэтому показать всю прелесть данного способа не получится, но не будем отчаиваться и попробуем получить shell от имени локального администратора. Используем токен пользователя ASI_Ves. На скриншоте виден синтаксис команды (не забываем указывать 2 слэша после рабочей группы). Успешно получив токен пробуем получить shell
Далее все зависит от вашей фантазии и возможностей.
Защита, для тех кому интересно.
Как специалист по информационной безопасности, дам главный совет по предотвращению подобного вектора атак, на ваши системы:
Аккуратнее относитесь к чувствительным учетным записям в домене. То есть учетная запись администратора домена должна быть одна и использоваться в крайних случаях, для того чтобы выполнять свои ежедневные функции системного администратора, вам достаточно прав локального админа на каждой машине и сервере и эта учетная запись ни в коем случае не должна обладать правами ни доменного администратора, ни тех групп безопасности что выше (Администратор схемы, Администратор предприятия).
Также следует помнить что токены хранятся до перезагрузки, так что если вы где то наследили просто перезагрузите машину и все токены с повышенными привилегиями будут удалены
Спасибо за внимание.