Фишинг учетных данных Windows. Часть 1

#Обучение

В этой статье мы запустим различные сценарии, в которых Windows попросит пользователя выполнить аутентификацию и получить учетные данные. В целях безопасности в Windows необходимо проверять учетные данные пользователя для различных аутентификаций, таких как Outlook, контроль учетных записей или вход в Windows с экрана блокировки. Мы можем использовать эту функцию в своих интересах, чтобы сбросить учетные данные после установления точки опоры в целевой системе. Чтобы использовать эту функцию, мы будем использовать методы фишинга для сбора учетных данных.

Платформа Metasploit: phish_windows_credentials 

Metasploit поставляется со встроенным пост-эксплойтом, который помогает нам в этом. Поскольку это постэксплуатационный модуль, его просто нужно связать с текущим сеансом. Чтобы использовать этот модуль, просто введите: 

use post/windows/gather/phish_windows_credentials  

set session 1  

exploit

Этот модуль ожидает запуска нового процесса пользователем. После запуска процесса откроется поддельное диалоговое окно безопасности Windows, запрашивающее учетные данные пользователя, как показано на изображении ниже:

Когда пользователь вводит свои учетные данные, они будут задержаны и отображены, как показано на изображении ниже:

FakeLogonScreen 

Инструмент FakeLogonScreen был создан Arris Huijgen. Он разработан на C#, поскольку позволяет различным фреймворкам внедрять утилиту в память. Мы будем удаленно запускать этот инструмент с помощью Metasploit. Но сначала давайте загрузим инструмент, используя ссылку, указанную ниже. 

https://github.com/bitsadmin/fakelogonscreen/releases 

Мы просто загружаем этот инструмент из нашего сеанса meterpreter, а затем удаленно запускаем его, используя следующий набор команд: 

upload /root/FakeLogonScreen.exe .  

shell  

FakeLogonScreen.exe

После выполнения он имитирует экран блокировки Windows для получения пароля от пользователя. Для этого этот инструмент будет отображать экран блокировки точно так, как он настроен, чтобы у пользователя не возникло подозрений, как показано на изображении ниже:

Он будет проверять учетные данные локально или с контроллера домена по мере их ввода пользователем, а затем отображать их на консоли, как показано на изображении ниже:

После выполнения инструмент вызовет экран блокировки целевой системы, как показано на изображении ниже:

И когда пользователь вводит пароль, он будет фиксировать нажатия клавиш до тех пор, пока не будет раскрыт весь пароль, как показано на изображении ниже:

PowerShell Empire: сбор/подсказка 

Этот модуль PowerShell Empire вызовет диалоговое окно в целевой системе с запросом учетных данных, как мы делали ранее. Мы можем использовать этот модуль со следующими командами: 

usemodule collection/prompt  

execute

Как только пользователь введет учетные данные в диалоговом окне, модуль отобразит их на терминале, как показано на рисунке ниже:

PowerShell Empire: сбор/поджарка 

Этот модуль PowerShell Empire запускает уведомление о перезапуске, подобное тому, которое генерируется, когда требуются обновления, и перезагружается для установки. Чтобы использовать этот модуль, введите следующую команду: 

usemodule collection/toasted  

execute

После запуска модуля появится следующее диалоговое окно:

И как только кнопка «Отложить» будет нажата, она запросит учетные данные для подтверждения решения об отсрочке, как показано на изображении ниже:

И когда пользователь вводит учетные данные, он распечатывает их, как показано на изображении ниже:

Koadic 

Аналогичный модуль в PowerShell Empire можно найти в Koadic. Когда у вас есть сеанс с использованием Koadic, используйте следующую команду, чтобы вызвать диалоговое окно: 

use password_box  

execute

Когда пользователь вводит имя пользователя и пароль в диалоговом окне, пароль также будет отображаться в терминале, как показано на рисунке ниже:

Продолжение следует…

Источник