كلمات افتتاحية

لدي فرصة لفهم Koadic هذه الأداة، لذلك قررت أن تجعل "rundll32 جافا سكريبت استغلال" مجموعات من الكلمات الرئيسية ونرى ما يبدو. لذلك بدأت طريق التنمية في وقت متأخر Koadic من الجذور الخفية، والتعلم Koadic يمكن أن يشير إلى شون ديلون وعرض زاك هاردينغ على ديفكون. Koadic مماثلة بوويرشيل الإمبراطورية، وزرع ظائف الجهاز على أساس محنك والكتابات. ومع ذلك، فإن الفرق الرئيسي هو أن، Koadic تعتمد على JavaScript و VBScript على جهاز الكمبيوتر الضحية. ولكن أكثر المعنية الآن عن فريق الأمن PS تبحث عن نشاط غير عادي في سجل أحداث Windows. أعتقد أنه يمكن أن يسمى جافا سكريبت الإمبراطورية.

بدأ

في هذه المقالة، فإننا سوف قدرات Koadic والبنية التحتية للقيام مقدمة موجزة. Koadic لديها ميزة تسمح للمهاجمين لتغيير رمز في أي وقت، على التكيف بسرعة مع البيئة الجديدة. في وقت لاحق وسوف نناقش هذه المسألة في هذه السلسلة من المقالات، ولكن من الواضح، أنت تحتاج إلى عناية تحويل لمن سجلات الأحداث ويندوز إلى نظام الملفات الأساسي. أولا، قمنا بتثبيت البرنامج على جيثب على البيئة أوبونتو المثال AWS. كان لدينا بعض الصعوبات، ولكن هذا تم حلها بسرعة - إعادة تثبيت وحدات Koadic بيثون. نعم، يستند Koadic الخادم على الثعبان. من أجل إنجاز العمل، والميزة Koadic من الثنائيات ويندوز، وتلك الثنائيات أدخلت سرا عن بعد جافا سكريبت أو فبسكريبت. لنفترض محنك mshta (المستخدمة في محنك اختبار) يتم إرسالها إلى الضحايا من خلال الرسائل الإلكترونية الاحتيالية. بمجرد تفعيلها، سوف Koadic إنشاء "غيبوبة". هذا هو سيطرتهم على الجهاز الضحية.

في سيناريوهات الاختبار التحريري الفعلية، فإن المهمة الأولى هي حل مشكلة من وأين. دخول "المعلومات" الأمر لمعرفة ما المعايير الأساسية، ثم قم بتعيين وفقا لذلك.

الخطوة الثانية

بمجرد أن تتقن الأساسيات، يمكننا مساعدتك في العثور على اسم مجال Windows بيئة مؤهلة تماما كنت تستخدم (FQDN). كما سنرى، وسوف تحتاج إلى ترك اسم المجال الكمبيوتر تم اختراق أصلا. للقيام بذلك، ولست بحاجة لتمرير المعلمة cmd لل gethostbyname ($ الحياة الفطرية: الكمبيوتر) لاستخدام بوويرشيل. وهو الأمر cmdlet PS حميدة.

باختصار: Koadic المدمج في دعم المعلومات البيئية الهامة، بالطبع، الأوامر قذيفة تشغيل ملء الفجوات في القدرات. بالمناسبة، يمكنك أن تجد وصفا لجميع الأوامر على الصفحة جيثب.

الخطوة الثالثة

ما لم يكن انفجار القراصنة الحظ، مع الملايين من أرقام بطاقات الائتمان غير مشفرة على الهبوط الخادم، وإلا أنها تحتاج للقفز على كمبيوتر آخر. طريقة للقيام بذلك هو الحصول على أوراق اعتماد مستوى المجال، وتجد في نهاية المطاف أوراق اعتماد مع امتيازات مرتفعة، ومن ثم أداء الاختراق الجانبي. ذات مرة، كتبت كيفية استخدام mimikatz وpsexec للقيام بذلك. قدمت Koadic لاسترداد من الذاكرة استنادا أوراق اعتماد SAM mimikatz، واحدة للpsexec الدعم. نصيحة: يجب أن الملف القابل للتنفيذ psexec صراحة تحميلها على جهاز الكمبيوتر الضحية وتعيين اسم المسار. على سبيل المثال، لاسترجاع الوثائق، ركضت زرع / حقن / mimikatz_dynwrapx:

يمكنك ان ترى تجزئة NTLM، إذا كنت ترغب في ذلك، يمكنك قطع. ولكن يمكنك أيضا استخدام wdigest الثغرات الأمنية، للحصول على كلمة المرور النص العادي. أنا لن تظهر كيف أن الحركة الجانبية الفعلية في هذه المقالة، ولكن يمكنك ان ترى الزرع / محور / psexec أدناه ترد في ما يلي:

الكلمات الأخيرة

في المرة القادمة سوف تظهر لك كيفية إنشاء مجموعة من إقناعا. لا تنزعج!

* المرجع المصدر: varonis، التي جمعها موقع zhoutai تاو، يرجى الإشارة من FreeBuf.COM