{"id":394622,"date":"2024-06-29T11:44:32","date_gmt":"2024-06-29T11:44:32","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=394622"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=394622","title":{"rendered":"\u0420\u0430\u0437\u0431\u043e\u0440 \u043a\u043e\u043d\u043a\u0443\u0440\u0441\u0430 IDS Bypass \u043d\u0430 Positive Hack Days 10<\/span>"},"content":{"rendered":"
<\/div>\n
\n
\n
\n
\n

\u0423\u0436\u0435 \u0432\u0442\u043e\u0440\u043e\u0439 \u0440\u0430\u0437 \u043d\u0430 \u043a\u043e\u043d\u0444\u0435\u0440\u0435\u043d\u0446\u0438\u0438 Positive Hack Days \u043f\u0440\u043e\u0445\u043e\u0434\u0438\u043b \u043a\u043e\u043d\u043a\u0443\u0440\u0441 IDS Bypass. \u041a\u0430\u043a \u0438 \u0432 \u043f\u0440\u043e\u0448\u043b\u044b\u0439 \u0440\u0430\u0437 (\u043f\u0440\u043e\u0448\u043b\u044b\u0439 \u0440\u0430\u0437\u0431\u043e\u0440<\/a>), \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0430\u043c \u043f\u0440\u0435\u0434\u0441\u0442\u043e\u044f\u043b\u043e \u043d\u0435 \u043f\u0440\u043e\u0441\u0442\u043e \u043d\u0430\u0439\u0442\u0438 \u0441\u043b\u0430\u0431\u043e\u0441\u0442\u0438 \u0432 \u0448\u0435\u0441\u0442\u0438 \u0441\u0435\u0440\u0432\u0438\u0441\u0430\u0445 \u0438 \u0443\u0442\u0430\u0449\u0438\u0442\u044c \u0444\u043b\u0430\u0433\u0438, \u043d\u043e \u0438 \u043e\u0431\u043e\u0439\u0442\u0438 IDS, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0431\u0443\u0434\u0435\u0442 \u0438\u043c \u043c\u0435\u0448\u0430\u0442\u044c. \u041f\u043e\u043c\u043e\u0447\u044c \u0432 \u043e\u0431\u0445\u043e\u0434\u0435 \u043f\u0440\u0430\u0432\u0438\u043b IDS \u0434\u043e\u043b\u0436\u043d\u044b \u0431\u044b\u043b\u0438 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044f \u043e\u0431 \u0438\u0445 \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u044f\u0445, \u0430\u043b\u0435\u0440\u0442\u044b. \u0418 \u043a\u0430\u043a \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e \u043f\u043e \u043f\u0440\u043e\u0448\u043b\u043e\u043c\u0443 \u043a\u043e\u043d\u043a\u0443\u0440\u0441\u0443, \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u0440\u0435\u0448\u0435\u043d\u0438\u0439 \u0434\u043b\u044f \u0437\u0430\u0434\u0430\u043d\u0438\u0439 \u0441\u043e\u0432\u0435\u0440\u0448\u0435\u043d\u043d\u043e \u043d\u0435\u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u043d\u043e. \u041f\u043e\u0435\u0445\u0430\u043b\u0438!<\/p>\n

<\/figcaption><\/figure>\n

192.168.30.10 \u2014 Apache Tomcat<\/h3>\n

\u041d\u0430 \u043f\u043e\u0440\u0442\u0435 8080 \u043d\u0430\u0441 \u0432\u0441\u0442\u0440\u0435\u0447\u0430\u0435\u0442 Apache Tomcat \u0432\u0435\u0440\u0441\u0438\u0438 9.0.17. \u041f\u0435\u0440\u0432\u044b\u0439 \u0436\u0435 \u043f\u043e\u0438\u0441\u043a \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u0430 \u043f\u043e\u0434 \u044d\u0442\u0443 \u0432\u0435\u0440\u0441\u0438\u044e \u0434\u043e\u043b\u0436\u0435\u043d \u043f\u0440\u0438\u0432\u0435\u0441\u0442\u0438 \u043a CVE-2019-0232. <\/p>\n

<\/figcaption><\/figure>\n

\u042d\u0442\u043e \u0437\u0430\u0434\u0430\u043d\u0438\u0435 \u0437\u0430\u0434\u0443\u043c\u044b\u0432\u0430\u043b\u043e\u0441\u044c \u043a\u0430\u043a \u043e\u0437\u043d\u0430\u043a\u043e\u043c\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0435 \u0438 \u0431\u044b\u043b\u043e \u0441\u0430\u043c\u044b\u043c \u043f\u0440\u043e\u0441\u0442\u044b\u043c (\u043a\u0430\u043a \u043e\u043a\u0430\u0437\u0430\u043b\u043e\u0441\u044c, \u043d\u0435 \u0441\u0430\u043c\u044b\u043c). \u0412 \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u0435 \u0432\u0438\u0434\u0438\u043c \u0442\u0435\u0441\u0442\u043e\u0432\u044b\u0439 URL \u0441 \u043a\u043e\u043c\u0430\u043d\u0434\u043e\u0439 \/cgi\/test.bat?&dir<\/code>. \u041d\u043e \u043f\u0440\u0438 \u0442\u0430\u043a\u043e\u043c \u0437\u0430\u043f\u0440\u043e\u0441\u0435 \u043e\u043d \u043f\u0440\u043e\u0441\u0442\u043e \u0432\u0438\u0441\u043d\u0435\u0442, \u0430 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a \u0432\u0438\u0434\u0438\u0442 \u0430\u043b\u0435\u0440\u0442 IDS:<\/p>\n

ATTACK [PTsecurity] Apache Tomcat RCE on Windows (CVE-2019-0232)<\/code><\/p>\n

\u0417\u0430\u0434\u0443\u043c\u044b\u0432\u0430\u043b\u043e\u0441\u044c \u0442\u0430\u043a, \u0447\u0442\u043e \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a \u0431\u0443\u0434\u0435\u0442 \u0432\u0438\u0434\u043e\u0438\u0437\u043c\u0435\u043d\u044f\u0442\u044c URL \u0442\u0435\u043c \u0436\u0435 \u043e\u0431\u0440\u0430\u0437\u043e\u043c, \u043a\u0430\u043a\u0438\u043c \u0431\u044b \u043e\u043d \u0434\u0435\u043b\u0430\u043b \u044d\u0442\u043e \u0434\u043b\u044f \u043e\u0431\u0445\u043e\u0434\u0430 WAF. \u0420\u0435\u0433\u0443\u043b\u044f\u0440\u043d\u043e\u0435 \u0432\u044b\u0440\u0430\u0436\u0435\u043d\u0438\u0435 \u0432 \u043f\u0440\u0430\u0432\u0438\u043b\u0435 \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u0442\u0430\u043a: pcre: \"\/\\.(?:bat|cmd)\\?\\&\/U\";<\/code>, \u0438 \u0432\u0441\u043a\u043e\u0440\u0435 \u0431\u044b IDS \u0443\u0441\u0442\u0443\u043f\u0438\u043b\u0430 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0443. \u041a\u0440\u043e\u043c\u0435 \u0442\u043e\u0433\u043e, \u0432 \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u0430\u0445 \u0443\u0436\u0435 \u0435\u0441\u0442\u044c \u043f\u0440\u0438\u043c\u0435\u0440 URL \u0441 \u0431\u0430\u0439\u043f\u0430\u0441\u043e\u043c, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u0442\u0430\u043a\u043e\u0439: http:\/\/localhost:8080\/cgi\/test.bat%20%20?&dir<\/code>. \u0412 \u0438\u0442\u043e\u0433\u0435 \u043c\u043d\u043e\u0433\u0438\u0435 \u0441 \u043b\u0435\u0433\u043a\u043e\u0441\u0442\u044c\u044e \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u043b\u0438 \u0437\u0430\u0434\u0430\u043d\u0438\u0435. \u0421 \u043a\u043e\u043d\u043a\u0443\u0440\u0441\u043e\u043c \u043e\u0437\u043d\u0430\u043a\u043e\u043c\u0438\u043b\u0438\u0441\u044c, \u043f\u0435\u0440\u0435\u0445\u043e\u0434\u0438\u043c \u0434\u0430\u043b\u044c\u0448\u0435.<\/p>\n

<\/figcaption><\/figure>\n

192.168.30.20 \u2014 PHP Bypass<\/h3>\n

\u0413\u043b\u0430\u0432\u043d\u0430\u044f \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0430 \u0432\u0441\u0442\u0440\u0435\u0447\u0430\u0435\u0442 \u043d\u0430\u0441 \u043f\u0440\u0435\u0434\u043b\u043e\u0436\u0435\u043d\u0438\u0435\u043c \u043f\u0440\u043e\u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043a\u043e\u043c\u0430\u043d\u0434\u0443 ls. \u041f\u0440\u0435\u0434\u0443\u043f\u0440\u0435\u0436\u0434\u0430\u0435\u0442, \u0447\u0442\u043e \u043c\u043e\u0436\u0435\u0442 \u043d\u0435 \u0441\u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c. <\/p>\n

<\/figcaption><\/figure>\n

\u041a\u0430\u043a \u0438 \u043e\u0436\u0438\u0434\u0430\u043b\u043e\u0441\u044c \u2014 \u043d\u0435 \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442. \u0412 \u043b\u043e\u0433\u0435 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0435:<\/p>\n

ATTACK [PTsecurity] file_name parameter possible command injection<\/code><\/p>\n

\u041c\u043e\u0436\u043d\u043e \u043f\u043e\u0434\u0443\u043c\u0430\u0442\u044c, \u0447\u0442\u043e \u0432 \u0437\u0430\u0434\u0430\u043d\u0438\u0438 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u043f\u0440\u043e\u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c RCE \u0438 \u0437\u0430\u0431\u0440\u0430\u0442\u044c \u0444\u043b\u0430\u0433, \u043d\u043e \u0438\u0434\u0435\u044f \u0437\u0430\u043a\u043b\u044e\u0447\u0430\u043b\u0430\u0441\u044c \u0432 \u0434\u0440\u0443\u0433\u043e\u043c. \u041b\u0435\u0442\u043e\u043c 2019 \u0433\u043e\u0434\u0430 \u0430\u0432\u0442\u043e\u0440 \u043f\u043e\u0434 \u043f\u0441\u0435\u0432\u0434\u043e\u043d\u0438\u043c\u043e\u043c @Menin_TheMiddle \u043e\u043f\u0443\u0431\u043b\u0438\u043a\u043e\u0432\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u044e<\/a> \u043e \u0431\u0430\u0439\u043f\u0430\u0441\u0435 IDS \u0438 WAF. \u0412 \u043d\u0435\u0439 \u0448\u043b\u0430 \u0440\u0435\u0447\u044c \u043e \u0442\u043e\u043c, \u0447\u0442\u043e \u0440\u044f\u0434 \u0441\u0438\u043c\u0432\u043e\u043b\u043e\u0432 \u0432 \u0438\u043c\u0435\u043d\u0438 GET-\u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u0430 PHP \u0438\u043d\u0442\u0435\u0440\u043f\u0440\u0435\u0442\u0430\u0442\u043e\u0440 \u043f\u0440\u0438\u0432\u043e\u0434\u0438\u0442 \u043a \u0437\u043d\u0430\u043a\u0443 \u043f\u043e\u0434\u0447\u0435\u0440\u043a\u0438\u0432\u0430\u043d\u0438\u044f (\u00ab_\u00bb). \u041d\u0430\u0448\u0430 IDS, \u0432 \u043e\u0442\u043b\u0438\u0447\u0438\u0435 \u043e\u0442 PHP, \u044d\u0442\u043e\u0433\u043e \u043d\u0435 \u0434\u0435\u043b\u0430\u0435\u0442. \u0414\u043b\u044f \u043f\u0440\u0438\u043c\u0435\u0440\u0430 \u0430\u0432\u0442\u043e\u0440 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b \u043e\u0434\u043d\u043e \u0438\u0437 \u043f\u0443\u0431\u043b\u0438\u0447\u043d\u044b\u0445 \u043f\u0440\u0430\u0432\u0438\u043b IDS \u043d\u0430\u0448\u0435\u0439 \u043a\u043e\u043c\u0430\u043d\u0434\u044b AttackDetection. \u0410 \u043f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u0440\u0435\u0448\u0430\u044e\u0449\u0430\u044f \u0447\u0430\u0441\u0442\u044c \u043f\u0440\u0430\u0432\u0438\u043b\u0430 Suricata \u0432\u044b\u0433\u043b\u044f\u0434\u0435\u043b\u0430 \u0442\u0430\u043a: pcre: \"\/file_name\\s*=\\s*[a-zA-Z\\.]*[^a-zA-Z\\.]\/U\";<\/code>, \u0442\u043e \u0438 \u043e\u0431\u043e\u0439\u0442\u0438 \u0435\u0433\u043e \u043c\u043e\u0436\u043d\u043e \u0431\u044b\u043b\u043e \u043f\u0440\u043e\u0441\u0442\u043e \u0437\u0430\u043c\u0435\u043d\u0438\u0432 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 file_name \u043d\u0430, \u0441\u043a\u0430\u0436\u0435\u043c, file[name. \u0418\u0437-\u0437\u0430 \u043e\u0448\u0438\u0431\u043a\u0438 \u0432 \u043f\u0440\u0430\u0432\u0438\u043b\u0435 Suricata \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0444\u043b\u0430\u0433 \u043c\u043e\u0436\u043d\u043e \u0431\u044b\u043b\u043e \u043f\u0440\u043e\u0441\u0442\u043e \u043f\u043e\u0441\u043b\u0430\u0432 file_name=. <\/p>\n

<\/figcaption><\/figure>\n

192.168.30.30 \u2014 He said yes <\/h3>\n

\u041d\u0430\u0441 \u0432\u0441\u0442\u0440\u0435\u0447\u0430\u0435\u0442 \u0444\u043e\u0440\u043c\u0430 \u0438 \u0438\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u044f, \u043a\u0430\u043a \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0442\u043e\u0442 \u0441\u0430\u043c\u044b\u0439 \u0444\u043b\u0430\u0433. \u0414\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u043f\u0440\u043e\u0441\u0442\u043e \u043e\u0442\u0432\u0435\u0442\u0438\u0442\u044c \u00abyes\u00bb \u043d\u0430 HTTP-\u0437\u0430\u043f\u0440\u043e\u0441.<\/p>\n

<\/figcaption><\/figure>\n

\u0423\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u043b\u0438 \u043d\u0430 \u0441\u0432\u043e\u0438\u0445 \u0443\u0437\u043b\u0430\u0445 \u0432\u0435\u0431-\u0441\u0435\u0440\u0432\u0435\u0440, \u043e\u0442\u0432\u0435\u0447\u0430\u043b\u0438 \u00abyes\u00bb \u043d\u0430 \u0432\u0445\u043e\u0434\u044f\u0449\u0438\u0435 \u0437\u0430\u043f\u0440\u043e\u0441\u044b \u0438 \u0432\u0438\u0434\u0435\u043b\u0438 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0443\u044e \u0441\u0442\u0440\u043e\u0447\u043a\u0443 \u0432 \u043b\u043e\u0433\u0430\u0445: <\/p>\n

JOKE [PTsecurity] Sometimes Positive Technologies hurts! No 'yes' allowed<\/code><\/p>\n

\u041f\u0440\u0430\u0432\u0438\u043b\u043e \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u043b\u043e \u0432\u0441\u0435 HTTP-\u043e\u0442\u0432\u0435\u0442\u044b \u0438 \u043d\u0435 \u043f\u0440\u043e\u043f\u0443\u0441\u043a\u0430\u043b\u043e \u0442\u0435, \u0432\u043d\u0443\u0442\u0440\u0438 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0431\u044b\u043b\u0430 \u0441\u0442\u0440\u043e\u043a\u0430 \u00abyes\u00bb. \u0418\u0433\u0440\u043e\u0432\u043e\u0439 \u0443\u0437\u0435\u043b \u0442\u0430\u043a\u0436\u0435 \u043f\u0440\u0438\u043d\u0438\u043c\u0430\u043b \u0442\u043e\u043b\u044c\u043a\u043e \u0441\u0442\u0440\u043e\u043a\u0443 \u00abyes\u00bb \u0432 \u043d\u0438\u0436\u043d\u0435\u043c \u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0435, \u0438 \u044d\u0442\u043e \u0437\u0430\u0434\u0430\u043d\u0438\u0435 \u043d\u0430\u0431\u0440\u0430\u043b\u043e \u043d\u0430\u0438\u0431\u043e\u043b\u044c\u0448\u0435\u0435 \u0447\u0438\u0441\u043b\u043e \u0440\u0430\u0437\u043d\u044b\u0445 \u0440\u0435\u0448\u0435\u043d\u0438\u0439!<\/p>\n

\u0417\u0430\u0434\u0443\u043c\u043a\u0430 \u0437\u0430\u043a\u043b\u044e\u0447\u0430\u043b\u0430\u0441\u044c \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e\u0431\u044b \u043f\u0435\u0440\u0435\u043d\u0430\u043f\u0440\u0430\u0432\u0438\u0442\u044c \u0432\u0445\u043e\u0434\u044f\u0449\u0438\u0439 HTTP-\u0437\u0430\u043f\u0440\u043e\u0441 \u043d\u0430 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b HTTPS \u0438 \u0443\u0436\u0435 \u0432 \u043d\u043e\u0432\u043e\u043c \u0437\u0430\u043f\u0440\u043e\u0441\u0435 \u043e\u0442\u0432\u0435\u0442\u0438\u0442\u044c \u00abyes\u00bb. \u0414\u043b\u044f \u044d\u0442\u043e\u0433\u043e \u0432\u0435\u043a\u0442\u043e\u0440\u0430 \u0432 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0435 requests \u0431\u044b\u043b\u0438 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u044b \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b allow_redirects=True<\/code> \u0438 verify=False<\/code>. \u0420\u0435\u0448\u0435\u043d\u0438\u0435 \u0432\u044b\u0433\u043b\u044f\u0434\u0435\u043b\u043e \u0442\u0430\u043a:
echo -ne \"HTTP\/1.1 302 Redirect\\r\\nLocation: https:\/\/10.8.0.2\/hi_there\\r\\nContent-Length: 0\\r\\n\\r\\n\" | sudo nc -nkvlp 80
echo -ne \"HTTP\/1.1 200 OK\\r\\nContent-Length: 3\\r\\nContent-Type: text\/html\\r\\n\\r\\nyes\" | sudo ncat -nvklp 443 \u2013ssl<\/code><\/p>\n

\u0423\u0447\u0430\u0441\u0442\u043d\u0438\u043a @vos \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b \u0441\u0442\u043e\u043a\u0440\u0430\u0442\u043d\u043e\u0435 \u0432\u043b\u043e\u0436\u0435\u043d\u043d\u043e\u0435 \u0441\u0436\u0430\u0442\u0438\u0435 gzip \u0434\u043b\u044f HTTP-\u043e\u0442\u0432\u0435\u0442\u0430, \u0430 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a @webr0ck \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b \u0437\u0430\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435 \u043d\u0443\u043b\u044f\u043c\u0438 \u0440\u0430\u0437\u043c\u0435\u0440\u043e\u043c \u043f\u043e\u0447\u0442\u0438 \u0432 2 \u043c\u0435\u0433\u0430\u0431\u0430\u0439\u0442\u0430 \u043f\u0435\u0440\u0435\u0434 \u0441\u0442\u0440\u043e\u043a\u043e\u0439 \u00abyes\u00bb. \u0418 \u0432 \u0442\u043e\u043c \u0438 \u0432 \u0434\u0440\u0443\u0433\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 Suricata \u043e\u043a\u0430\u0437\u0430\u043b\u0430\u0441\u044c \u0431\u0435\u0441\u0441\u0438\u043b\u044c\u043d\u043e\u0439. <\/p>\n

192.168.30.40 \u2014 DCERPC<\/h3>\n

\u0421\u0430\u043c\u044b\u0439 \u0434\u043e\u0440\u043e\u0433\u043e\u0439 \u0442\u0430\u0441\u043a \u043d\u0430 \u044d\u0442\u043e\u043c \u043a\u043e\u043d\u043a\u0443\u0440\u0441\u0435. \u0423\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0430\u043c \u0434\u0430\u0432\u0430\u043b\u0438\u0441\u044c \u0434\u0430\u043d\u043d\u044b\u0435 \u0423\u0417 \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430 \u0438 \u043f\u0440\u0435\u0434\u043b\u0430\u0433\u0430\u043b\u043e\u0441\u044c \u043f\u0440\u043e\u044f\u0432\u0438\u0442\u044c \u0441\u0432\u043e\u0438 \u0437\u043d\u0430\u043d\u0438\u044f Windows-\u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u043e\u0432. \u0414\u043b\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u0444\u043b\u0430\u0433\u0430 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u0431\u044b\u043b\u043e \u0432\u044b\u0442\u0430\u0449\u0438\u0442\u044c \u0441\u043f\u0438\u0441\u043e\u043a \u0432\u0441\u0435\u0445 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u043d\u0430 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0435. <\/p>\n

<\/figcaption><\/figure>\n

\u0422\u0435, \u043a\u0442\u043e \u0437\u043d\u0430\u043a\u043e\u043c \u0441 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c\u044e AD, \u043c\u043e\u0433\u0443\u0442 \u0441\u0440\u0430\u0437\u0443 \u043f\u043e\u0434\u0443\u043c\u0430\u0442\u044c \u043e \u0441\u043a\u0440\u0438\u043f\u0442\u0435 samrdump.py \u0438\u0437 \u043d\u0430\u0431\u043e\u0440\u0430 impacket, \u043d\u043e \u0441\u043a\u0440\u0438\u043f\u0442 \u00ab\u0441\u0442\u0443\u0447\u0438\u0442\u0441\u044f\u00bb \u043d\u0430 \u0437\u0430\u043a\u0440\u044b\u0442\u044b\u0439 \u043d\u0430 \u0443\u0437\u043b\u0435 \u043f\u043e\u0440\u0442 445 SMB. \u0421\u0442\u0440\u043e\u043a\u0430 \u0431\u0438\u043d\u0434\u0438\u043d\u0433\u0430 \u0432 \u0441\u043a\u0440\u0438\u043f\u0442\u0435 ncacn_np:*hostname*[\\pipe\\samr]<\/code> \u0444\u0438\u043a\u0441\u0438\u0440\u043e\u0432\u0430\u043d\u0430 \u0438 \u0432\u0435\u0434\u0435\u0442 \u043d\u0430 SMB-\u043f\u0430\u0439\u043f. \u041a\u0440\u043e\u043c\u0435 \u0442\u043e\u0433\u043e, \u0438\u0437 \u043e\u0442\u043a\u0440\u044b\u0442\u044b\u0445 \u043f\u043e\u0440\u0442\u043e\u0432 \u043d\u0430 \u0443\u0437\u043b\u0435 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u0442\u043e\u043b\u044c\u043a\u043e 135, \u0435\u0433\u043e \u0441\u043b\u0443\u0448\u0430\u0435\u0442 \u0442.\u00a0\u043d. Endpoint Mapper. EPM \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u0437\u0430 \u0440\u0435\u0437\u043e\u043b\u0432 RPC-\u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u043e\u0432.<\/p>\n

\u0414\u0440\u0443\u0433\u043e\u0439 \u0441\u043a\u0440\u0438\u043f\u0442 \u0438\u0437 \u043d\u0430\u0431\u043e\u0440\u0430 impacket, rpcdump.py, \u043a\u0430\u043a \u0440\u0430\u0437 \u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 EPM, \u0447\u0442\u043e\u0431\u044b \u0443\u0437\u043d\u0430\u0442\u044c \u0441\u043f\u0438\u0441\u043e\u043a \u0442\u0435\u043a\u0443\u0449\u0438\u0445 \u0430\u043a\u0442\u0438\u0432\u043d\u044b\u0445 RPC-\u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u043e\u0432.<\/p>\n

> python rpcdump.py Administrator:TastesG00d@192.168.30.40
Protocol: [MS-SAMR]: Security Account Manager (SAM) Remote Protocol
Provider: samsrv.dll
UUID\u00a0\u00a0\u00a0 : 12345778-1234-ABCD-EF00-0123456789AC v1.0
Bindings:
\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 ncacn_ip_tcp:192.168.30.40[49668]
\u00a0\u00a0\u00a0 \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0ncacn_np:\\\\TASK4[\\pipe\\lsass]<\/code><\/p>\n

\u0421\u0440\u0435\u0434\u0438 \u0432\u0441\u0435\u0445 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u043e\u0432 \u0432\u0438\u0434\u0438\u043c \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u044b\u0439 \u043d\u0430\u043c SAMR, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u0441\u0440\u0435\u0434\u0438 \u043f\u0440\u043e\u0447\u0435\u0433\u043e \u0438 \u0437\u0430 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f\u043c\u0438. \u0421 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u0430 SAM \u0441\u043a\u0440\u0438\u043f\u0442 samrdump.py \u0432\u044b\u0442\u0430\u0441\u043a\u0438\u0432\u0430\u0435\u0442 \u0441\u043f\u0438\u0441\u043e\u043a \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439. \u0422\u043e \u0435\u0441\u0442\u044c \u043a\u0440\u043e\u043c\u0435 SMB-\u043f\u0430\u0439\u043f\u0430 \u043c\u044b \u043c\u043e\u0436\u0435\u043c \u043d\u0430\u043f\u0440\u044f\u043c\u0443\u044e \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0438\u0442\u044c\u0441\u044f \u043a \u043f\u043e\u0440\u0442\u0443 49668 \u0438 \u0437\u0430\u043f\u0440\u043e\u0441\u0438\u0442\u044c \u0441\u043f\u0438\u0441\u043e\u043a \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u043f\u043e \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0443 DCERPC. \u0414\u043b\u044f \u044d\u0442\u043e\u0433\u043e \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u043f\u0440\u043e\u043f\u0430\u0442\u0447\u0438\u0442\u044c \u0441\u043a\u0440\u0438\u043f\u0442 samrdump.py, \u0447\u0442\u043e\u0431\u044b \u043e\u043d \u043e\u0431\u0440\u0430\u0449\u0430\u043b\u0441\u044f \u0432\u043c\u0435\u0441\u0442\u043e \u043f\u0430\u0439\u043f\u0430 \u043d\u0430\u043f\u0440\u044f\u043c\u0443\u044e \u043d\u0430 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 SAMR. \u041f\u043e \u0438\u043d\u043e\u043c\u0443 \u043f\u0443\u0442\u0438 \u043f\u043e\u0448\u043b\u0438 \u0443\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0438 @vos \u0438 @Abr1k0s. \u041e\u043d\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438 \u0433\u043e\u0442\u043e\u0432\u044b\u0439 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 walksam \u0438\u0437 \u043d\u0430\u0431\u043e\u0440\u0430 rpctools, \u0435\u0434\u0438\u043d\u0441\u0442\u0432\u0435\u043d\u043d\u0430\u044f \u0441\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u043a\u043e\u0442\u043e\u0440\u043e\u0433\u043e \u0437\u0430\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u0432 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0438 \u0444\u043b\u0430\u0433\u0430 RPC_C_AUTHN_LEVEL_PKT_PRIVACY \u0432\u043c\u0435\u0441\u0442\u043e RPC_C_AUTHN_LEVEL_CALL. \u0410\u043b\u044c\u0442\u0435\u0440\u043d\u0430\u0442\u0438\u0432\u043d\u044b\u043c\u0438 \u0441\u043f\u043e\u0441\u043e\u0431\u0430\u043c\u0438 \u0431\u044b\u043b\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u043e\u0432 atsvc, svcctl, dcom \u0438 \u0434\u0440\u0443\u0433\u0438\u0445. \u0412\u0441\u0435 \u043e\u043d\u0438 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0442 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u043e\u0435 \u0438\u0441\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435 \u043a\u043e\u0434\u0430 \u0438 \u0437\u0430\u043a\u0440\u044b\u0442\u044b \u043f\u0440\u0430\u0432\u0438\u043b\u0430\u043c\u0438 IDS. \u0418\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 shutdown \u0442\u0430\u043a\u0436\u0435 \u0431\u044b\u043b \u0437\u0430\u043a\u0440\u044b\u0442. \u0421\u0430\u043c\u044b\u0439 \u043d\u0435\u043e\u0431\u044b\u0447\u043d\u044b\u0439 \u0441\u043f\u043e\u0441\u043e\u0431 \u0440\u0435\u0448\u0435\u043d\u0438\u044f \u044d\u0442\u043e\u0433\u043e \u0437\u0430\u0434\u0430\u043d\u0438\u044f \u043f\u043e\u0434\u0440\u0430\u0437\u0443\u043c\u0435\u0432\u0430\u043b \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u044b\u0439 \u043f\u043e\u0438\u0441\u043a \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e wevtutil:<\/p>\n

<\/figcaption><\/figure>\n

192.168.30.50 \u2014 RDP me<\/h3>\n

\u0417\u0430\u0434\u0430\u0447\u0430 \u043f\u0440\u043e\u0441\u0442\u0430: \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0438\u0442\u044c\u0441\u044f \u043f\u043e RDP \u0441 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e\u0439 \u0443\u0447\u0435\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u044c\u044e \u0438 \u043f\u0440\u043e\u0447\u0438\u0442\u0430\u0442\u044c \u0444\u043b\u0430\u0433 \u0441 \u0440\u0430\u0431\u043e\u0447\u0435\u0433\u043e \u0441\u0442\u043e\u043b\u0430. \u0421\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e \u0431\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u043e \u0438\u0437 \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u0445 RDP-\u043a\u043b\u0438\u0435\u043d\u0442\u043e\u0432 \u0437\u0430\u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u0430\u043d\u044b \u043f\u0440\u0430\u0432\u0438\u043b\u0430\u043c\u0438 IDS. \u0423\u0447\u0430\u0441\u0442\u043d\u0438\u043a\u0438 \u0442\u043e \u0438 \u0434\u0435\u043b\u043e \u043f\u043e\u043b\u0443\u0447\u0430\u043b\u0438 \u043e\u0434\u043d\u043e \u0438\u0437 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0445 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0439:<\/p>\n