PsExec og de Grimme Ting, Det Kan Gøre
de Fleste af de værktøjer, vi bruger til at administrere netværk har en tendens til at være et tveægget sværd. Disse værktøjer giver stor fleksibilitet og giver mulighed for lettere styring af enheder, tjenester og soft .are. I de rigtige hænder har vi intet at bekymre os om, men i de forkerte hænder bliver vores fjernadministrationsværktøjer kraftfulde våben, der kan bruges af angribere til at udføre en lang række ondsindede aktiviteter., I denne artikel vil jeg tale om et værktøj, der passer til denne beskrivelse. Dette værktøj er Microsoft Sysinternals pse .ec værktøj. I denne artikel vil jeg ” give et overblik over, hvad PSE .ec er, og hvad dens muligheder er fra et administrativt synspunkt. Efter dette, Jeg kommer til at tage rollen som en modstander og demonstrere nogle af de grimme ting, det kan bruges til på et netværk.
denne artikel har til formål at tjene to målgrupper., Den første målgruppe består af de systemadministratorer, der er ansvarlig for at beskytte deres netværk fra brug af værktøjer som pse .ec til skadelige formål. Den anden tilsigtede publikum består af etiske hackere og professionelle penetration testere, der kan få nogle fordele ved at vide lidt mere om nogle af de ting PSE .ec kan bruges til., Uanset hvilket publikum du falder ind i det vigtige, at jeg giver ansvarsfraskrivelsen om, at nogle af de kommandoer og teknikker, jeg diskuterer her, kan være ret ulovlige afhængigt af omstændighederne, hvor de bruges, så jeg opfordrer til at gå videre med forsigtighed, hvis nogen handlinger, du tager, kan være tvivlsom.
Hvad er PSE ?ec?
PSE .ec-værktøjet blev designet som en del af pstools-pakken, oprindeligt udviklet af Mark Russinovich fra Sysinternals, der nu ejes af Microsoft., Værktøjet er opfundet som et kommandolinjebaseret fjernadministrationsværktøj og giver mulighed for fjernudførelse af processer på andre systemer. Det er meget fleksibelt, idet det giver mulighed for brug af alternative godkendelsesoplysninger snarere end dem, som brugeren udfører det, hvilket betyder, at du kan administrere enheder adskilt af Domæne-og siteebstedsgrænser. PSE .ec kan ikke kun udføre programmer på et fjernsystem, men det kan også omdirigere konsolindgang og-output mellem systemer, så du kan bruge interaktive værktøjer eksternt.,
i modsætning til de fleste Microsoft-tilknyttede soft .are er PSE .ecs indre funktion ingen hemmelighed og er ret ligetil. Pse .ec tillader omdirigeringer af input og output fra en eksternt startet eksekverbar ved hjælp af SMB og den skjulte $ADMIN-andel på fjernsystemet. Med denne andel, PsExec bruger Windows Service control Manager API til at starte PsExecsvc service på det eksterne system, som skaber en navngivet pipe, der PsExec kommunikerer med. Dette navngivne rør er det, der giver mulighed for input/output omdirigering tilbage til det system, der lancerede pse .ec.,
Spiller Godt, med PsExec
Som per det oprindelige design, PsExec kan bruges til at gøre en række meget nyttige ting, der kan aide system administratorer. Et sådant scenario, som jeg har fundet mig selv i et antal gange, er et, hvor jeg”har kendt DNS-navnet på en computer, men ikke de nøjagtige IP-konfigurationsindstillinger (DNS-server, standard gate .ay osv.). Under normale omstændigheder ville jeg bruge ipconfig på det lokale system til at bestemme disse oplysninger., I langt de fleste tilfælde dog, dette kan betyde, at jeg ville have til at køre til et andet sted eller låne en bruger”s computer, i sagens natur at reducere deres produktivitet for dagen. Da ipconfig ikke har muligheder for at blive kørt mod en ikke-lokal maskine, kan jeg bruge pse .ec til at starte den med succes, som vist i Figur 1.
Figur 1: Brug PsExec at lancere ipconfig på et eksternt system
Efter PsExec kaldes, fjerncomputeren er udpeget efter en dobbelt skråstreg (\\), efterfulgt af kommandoen ipconfig., Når du udfører PSE .ec, er det standard til mappen %SYSTEM% på det eksterne system, du forsøger at køre kommandoen på, hvorfor jeg ikke behøvede at angive en fuld sti her. Endelig er / all-kontakten til ipconfig specificeret for at udsende alle tilgængelige ipconfig-oplysninger.
en anden almindelig implementering af PSE .ec er at bruge den til implementering af opdateringer, programrettelser og hotfi .es. Selvom den typiske foretrukne metode til at gøre dette er gennem gruppepolitik, kan der være tilfælde, hvor denne metode er for langsom., Jeg har været i mange situationer, hvor jeg har brug for at implementere en højt prioriteret sikkerhedsrettelse, der ikke kan vente varigheden af standardgruppepolitikkens opdateringstid, så jeg har henvendt mig til PSE .ec for at implementere filen på en hurtigere måde. Et eksempel på dette ses i figur 2.figur 2: Start af en eksekverbar patch eksternt
kommandobilledet ovenfor bruger nogle ekstra funktioner. Bemærk først, at der er to computernavne adskilt af kommaer efter dobbelt skråstreg (\\)., Pse .ec giver dig mulighed for at angive flere målenheder her, eller alternativt en fil, der indeholder en liste over enhedsnavne eller-adresser. Kommandoen inkluderer også / C-kontakten, som bruges, når du vil specificere en fil på det lokale system, der skal udføres på fjernsystemet. I dette tilfælde Jeg ” ve angivet fil patch.e .e. Filen er placeret på mit lokale system ved roden af C-drevet, så jeg”ve måtte angive den fulde filsti. Kontakten / c ser som standard ud i mappen %SYSTEM% på det lokale system., Som du kan se, udføres filen med succes, og output omdirigeres tilbage til den lokale konsol, vi kører pse .ec fra.en sidste venlig brug af PSE “ec I ” ve vist sig at være meget praktisk er at bruge det til fjernadministration af systemer med et højere privilegieniveau, mens du bruger et system under en lavere privilegeret konto. Jeg kan ikke tælle antallet af gange, jeg har været på stedet, der arbejder på en brugers computer, og jeg har fået et opkald, der kræver, at jeg udfører en administrativ funktion, såsom en adgangskodeændring., Selvfølgelig, i et Active Directory-miljø, jeg kunne bare RDP til en domænecontroller, og udfører denne forandring, men jeg”har haft flere kunder, der don”t bruge active directory eller RDP-af forskellige årsager. Når det er tilfældet, er det ret nemt at poppe i et USB-flashdrev og få adgang til kopien af PSE .ec, jeg har installeret på den. I tilfælde af figur 3 har jeg brugt PSE .ec til at nulstille en brugers adgangskode på et system ved at hæve privilegierne” for netværktøjet som udført af PSE .ec.,
Figur 3: Ændring af en bruger”s adgangskode ved at løfte PsExec”s privilegier
Gør Grimme Ting med PsExec
lad os Nu”tage en gåtur på den mørke side og se på nogle ting, der kan gøres med PsExec af dem med potentielt onde hensigter. Først off, lad os overveje et scenario, hvor en hacker har opnået legitimationsoplysninger for et system, men gør ikke”t har nogen direkte adgang til det., I dette tilfælde, angriberen sigter mod at få GUI eller kommandolinjekontrol af systemet, men de tilgængelige muligheder for brug af disse legitimationsoplysninger kan være begrænset. En metode, der kan være nyttig i denne situation er at bruge PSE .ec til at køre en bagdør eksekverbar på systemet, ligesom hvad der er vist i figur 4.figur 4: en ondsindet eksekverbar lanceres eksternt
i tilfælde af dette skærmbillede bruger en fjernangriber PSE .ec med /C-kontakten til at køre den lokale fil NC.e .e på fjernsystemet., Sammen med dette, den-U og-p s .itches bruges til at angive kompromitteret brugernavn og adgangskode, så filen kan udføres med root niveau privilegier. Ukendt for offeret, den fil, der bliver lydløst henrettet i faktisk en bagdør, der vil gøre det muligt for angriberen at oprette forbindelse til systemet og modtage en administrativ kommandoprompt.
en interessant ting om angrebet vi lige kigget på, er, at du faktisk don”t selv har brug for en brugers adgangskode for at udføre det. I al virkelighed er alt hvad du behøver brugernavn og adgangskode hash for brugeren., I Windowsindo .s anvendes matematiske beregninger på brugerleverede adgangskoder for at gøre disse adgangskoder til en krypteret fastlængde streng, kaldet en hash. Disse hashes er en sikkerhedsfunktion designet til at forhindre, at klare tekstadgangskoder overføres på tværs af et netværk. Når godkendelse sker, sendes disse adgangskodehascher fra en vært til en anden. Brug af PSE .ec dette kan drages fordel af ved blot at levere adgangskoden hash i stedet for adgangskoden, vist i figur 5.,
Figur 5: Brug en password-hash til at udføre en fil via fjernadgang
Dette eksempel er det samme, som det ses i Figur 4, er den eneste forskel er, at et password hash er anvendt i stedet for adgangskoden. Det modtagende system har ikke noget problem at acceptere denne hash til godkendelsesformål. Der er en række forskellige metoder til at få adgangskodehascher, der er lidt uden for denne artikels anvendelsesområde. Jeg har skrevet en anden artikel om dette emne, der ses her.,
et andet pænt trick, som pse .ec muliggør, er muligheden for at få adgang til filer og spa .n-processer med den indbyggede systemkonto. Systemet konto på en machineindo .s-maskine er den mest kraftfulde konto og giver mulighed for adgang til stort set alt, herunder nogle elementer, der aren”t Tilgængelige af administratorkontoen og bruger oprettede konti.. Figur 6 giver et eksempel for at få adgang til regedit-applikationen.,figur 6: adgang til offrets registreringsdatabase
kommandoen ovenfor køres direkte på et lokalt system, men angiver-s-kontakten for at bruge den lokale systemkonto. Dette kombineres med-i (interaktiv) mulighed, der kører regedit i interaktiv tilstand. Kørsel af denne kommando starter regedit med systemadgang, som giver ekstra adgang til nogle interessante filer. Et sådant eksempel på dette er den SAM-fil, der indeholder brugeradgangskode hashes., I betragtning af den rette motivation, kan en hacker med adgang til et system og PsExec let kunne udtrække alle password hashes fra systemet ved hjælp af denne teknik, potentielt give ham oplysninger, der kan give mulighed for kompromis af andre systemer eller konti.
et par advarsler
legitimationsoplysninger i det klare – hvis du er bekymret for, hvem der muligvis lytter til din netværksaktivitet, er PSE .ec sandsynligvis ikke det bedste værktøj at bruge., Pse .ec overfører alle brugeroplysninger, der leveres til det i det klare, hvilket betyder, at hvis du leverer et brugernavn og en adgangskode for at få adgang til et system eksternt, kan enhver med en kopi af runningireshark eller Tcpdump, der kører, aflytte legitimationsoplysningerne.antivirus Detection-dette plejede ikke at være så meget af et problem, men nu hvor de fleste virusscanningsprogrammer gør et vist niveau af system-og hukommelsesovervågning, vil de fleste af dem fange PSE .ec, der bruges på det system, de overvåger., Hvis du laver en penetration test på et Windows-system og PsExec isn”t fungerer, som det skal være, så chancerne er, at du bliver blokeret af antivirus, og værre endnu, du kan være at lade slutbrugeren ved, du er leger med deres system.
PSE .ec og Metasploit – når det er muligt, bruger jeg aldrig PSE .ec af sig selv mere. En ændret version af PSE .ec er nu inkluderet i Metasploit-rammen. Metasploit er en penetration test rammer, der giver en hel del af funktionalitet., Hvis du vil bruge pse .ec til en form for sikkerhedsvurdering, overvejer du at undersøge den ekstra funktionalitet Metasploit giver med det. Jeg brugte faktisk denne version af PSE .ec i en artikel, jeg skrev tidligere om at passere Hash-teknikkerne.
konklusion
PSE .ec-værktøjet har mange anvendelser til en række intentioner fra brugeren. Forhåbentlig har denne artikel bidraget til at uddanne dig om nogle af dens funktioner, og hvordan de kan bruges til forkert handling. Pse .ec er den slags værktøj, der gør det muligt for en hacker at være kreativ., Selvom jeg kun har dækket et par unikke anvendelser af værktøjet her, ville jeg tør sige, at snesevis eller endda hundreder af interessante angrebsvektorer er tilgængelige ved hjælp af dets funktionssæt. På et tidspunkt vil jeg planlægge at skrive en opfølgende artikel, der indeholder mere interessante og avancerede anvendelser til PSE .ec. I mellemtiden, hvis du har interessante PSE .ec-tricks, er du velkommen til at skrive til mig direkte til optagelse i den næste artikel.