Веселимся с Incognito

Что такое Incognito

 

Incognito это изначально автономное приложение, которое позволяет вам выдавать пользовательские маркеры, при успешной компроментации системы. Он был интегрирован в Metasploit и в конечном счёте в Meterpreter. Больше о Incognito и о том как работают похищенные маркеры вы можете почитать в оригинальном документе. Документ достаточно старый, 2008года, да и это руководство отнюдь не новое. Но позволяет понять сам принцип работы. Может быть этот документ я через время переведу, по мере своих сил и расскажу о чем он.

 

В shell оболочке токены похожи на web куки. Они представляют собой временный ключ который позволит получить доступ к системе и сети без необходимости каждый раз предоставляет учётные данные каждый раз, когда вы имеете доступ к файлу. Эксплоит Incognito используем этот же способ куки для работы по воровству временного ключа который используется при аутентификации. Есть два типа токенов delegate и impersonate. Delegate создаётся для интерактивных входов, таких как вход в машину либо при подключении к ней через удалённый рабочий стол. Impersonate токен используется для не интерактивных сессий таких как присоединение к сетевому диску либо сценарию входа в домен.

 

Как и иные токены, они сохраняются до перезагрузки. Когда пользователь выходит из системы, их delegate токен получает знак impersonate, но будет по прежнему содержать все права delegate токена.

 

Совет: Файловые сервера являются виртуальными сокровищницами токенов, потому как большинство файловых серверов используются в качестве сетевых дисков прикреплённых скриптом входа в домен.

 

Так когда вы имеете Meterpreter консоль, вы можете выдать себя за действующий токен в системе и стать конкретным пользователем без необходимости беспокоится о полномочиях или даже хешах. Во время теста на проникновение это особенно полезно в связи с тем что маркеры имеют возможность предоставления локальных и/или доменных привилегий что предоставляет вам альтернативные пути с потенциально высоким уровнем привилегий в некоторых системах.

 

Прежде всего давайте загрузим наш любимый эксплоит ms08_067_netapi с Meterpreter payload. Обратите внимание, что мы вручную установим цель, потому что этот частный эксплоит не всегда автоматически обнаружит цель должным образом. Установка известной цели будет обеспечивать правильный адрес памяти использующийся для эксплуатации.

Производим загрузку ms08_067_netapi
Dante

 

Теперь мы имеем Meterpreter консоль, из которой начнём нашу incognito токен атаку. Подобно priv (hashdump и timestomp) и stdapi (upload, download и тд.), incognito, meterpreter модуль. Мы загрузим модуль в нашей meterpreter сессии выполнив команду ‘use incognito‘. Выдача команды ‘help‘ покажет нам различные опции, что у нас есть для incognito и краткое описание для каждой опции.

Подсказка в incognito
Dante

 

То что мы должны сделать в первую очередь, это определить есть какие-либо действительные токены в этой системе. Токены которые вы в состоянии просмотреть зависят от уровня доступа вашего эксплоита. Когда дело доходит до воровства токенов, SYSTEM является королем. Как SYSTEM вы можете просматривать и использовать любой токен в доступе.

 

Подсказка: Администраторы не имеют доступа ко всем токенам, но они имеют возможность мигрировать в SYSTEM процессы, эффективно делая их SYSTEM и имея возможность видеть все доступные токены.

Выводим список доступных токенов
Dante

 

Здесь мы видим что действительным является токен Administrator, который мы видим представляет интерес. Теперь нам необходимо выдать себя за этот токен для того чтобы выполнять свои привилегии. При выполнении команды ‘impersonate_token‘ обратите внимание на две обратные косые черты в ‘SNEAKS.IN\\ Administrator‘. Это необходимо, так как только с одной чертой вызывает ошибки. Отметим также, что после того как мы успешно выдадим себя за токен, мы проверяем наш текущий userID, выполнив команду ‘getuid‘.

Смотрим текущий ID
Dante

 

Теперь можно запустить Shell как этот индивидуальный аккаунт, запустив ‘execute -f cmd.exe -i -t‘ изнутри Meterpreter. Запуск ‘execute -f cmd.exe -i -t‘ изнутри Meterpreter скажет Metasploit выполнить cmd.exe, ‘-i‘ позволит нам взаимодействовать с ПК жертвы, и ‘-t‘ берет на себя роль отображения себя через incognito.

Подделываем администратора цели
Dante

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *