Jump to content
  • entries
    16
  • comments
    22
  • views
    6450

Hey Domain Admin I’m watching you! Part 2


SOF

1167 views

 Share

Ιδού λοιπόν για τους δύσπιστους.

Θεωρία:

Hernan Ochoa - Pass-The-Hash Toolkit for Windows

Πράξη, είναι ποσταρισμένο στο youtube, με ότι αυτό συνεπάγεται:

videoa31bf3be324c_3E41F993.jpg

Συμπέρασμα;

ΜΗΝ ΚΑΝΕΤΕ LOGIN ΜΕ DOMAIN ADMIN CREDENTIALS ΠΑΡΑ ΜΟΝΟ ΕΚΕΙ ΠΟΥ ΕΙΝΑΙ ΑΠΟΛΥΤΩΣ ΑΝΑΓΚΑΙΟ.

Σχόλια;

 

Greetings

SOF

 Share

4 Comments


Recommended Comments

τα πάντα πλέον είναι ποσταρισμένα στο web.και φυσικά το κάθε τι παρουσιάζετε με τον τρόπο του.Στο συγκεκριμένο βίντεο πχ, δίχνει ότι φτιάχνει ένα χρήστη hacker, αλλά δεν κάνει ποτέ login με αυτόν, αλλά ούτε με τον DomainAdmin στο domain. Στην δική μου περίπτωση που δοκίμαζα όλα τα παραπάνω, κατάφερα να φτιάξω τους χρήστες...στο μηχάνημα (!!!!) που ήμουν ήδη ή να μην τους δω πουθενά. Από την άλλη, η προσωπική μου εμπειρία λέει ότι με το ophcrack μπορείς να κάνεις δουλειά μόνο αν το χρησιμοποιήσεις τοπικά σε κάποιον server και δη domain controller.

 

Φυσικά εργαλεία για όλα αυτά υπάρχουν άπειρα, με πρώτο και καλύτερο το Metasploit αλλά και το BackTrack. Παρόλα αυτά, τα πράγματα δεν είναι και τόσο εύκολα, όταν πχ ο domain admin έχει username bsougias, αντί των κλασσικών admin, administrator, DomainAdmin, sysop κλπ

 

Οπότε ναι, θα συμφωνίσω ότι καλό είναι να μην χρησιμοποιούμε domain admin credentials όταν δεν χρειάζεται, αλλά πίστεψε με αν ήταν έτσι απλό, κανείς δεν θα ασχολούταν με άλλου τύπου exploits. Με το hiren's boot cd, μπορείς να κάνεις αλλαγή του local admin password με δύο κλικ και χωρίς γνώσεις linux.θα προτιμούσα να δω ολοκληρη την διαδικασία του hacking. Για την συνέχεια θα μελετήσω το καταπλητικό pdf που έχεις βάλει.

Link to comment

Το σημαντικό που πρέπει να κρατήσουμε από αυτή την ιστορία, δεν είναι πώς μπορεί να γίνει κάποιος local admin. Υπάρχουν πολλοί τρόποι.

 

Το κυρίως νόημα της υπόθεσης είναι πως τα hashes όλων το δηλωμένων χρηστών. Αυτών δηλαδή που έχουν κάποιο logon session ανοιχτό στο μηχάνημα αυτό δεν προστατεύονται ουσιαστικά από την κλοπή. Δεν αποτελεί προϋποθεση να ξέρουμε το όνομα του admin, μπορούμε να δοκιμάσουμε απλά όλα τα αποτελέσματα του whosthere. Βασική προϋπόθεση φυσικά είναι να χρησιμοποιούμε NTLM.

 

Δοκίμασε το να δείς οτι ναι, είναι τόσο απλό

Link to comment

Γιώργο το σημαντικό βήμα στη διαδικασία που περιγράφεται, δεν είναι να γίνεις μόνο local admin στο PC. Είναι να κλέψεις το default local admin hash, και να βασιστείς στο ότι κατά πάσα πιθανότητα όλα τα PC's του δικτύου έχουν το ίδιο local admin password, ώστε να αποκτήσεις local admin access και στο PC όπου δουλεύει ο domain admin, ώστε να κλέψεις τα δικά του hashes. Ακόμα και αν ο διαχειριστής δεν δουλεύει με domain admin rights στο δικό του user account (που μεταξύ μας, συμβαίνει αρκετές φορές), θα μπορούσε κάποιος να αποκτήσει local admin privilege σε έναν π.χ. file server, και να ενοχλήσει τον διαχειριστή για πρόβλημα πρόσβασης, ώστε να τον "αναγκάσει" να χρησιμοποιήσει domain admin credentials (γιατί είναι αρκετά σπάνιο να χρησιμοποιούμε διαφορετικά credentials για διαφορετικές δουλειές...)

Το γενικότερο συμπέρασμα, είναι οτι ο κίνδυνος "εκ των έσω" παραμονεύει και πρέπει πλέον να προσέχουμε πολύ περισσότερο από όσο είχαμε συνηθήσει...

 

ΥΓ : Μπράβο για το "συνάδελφοι ξυπνήστε" άρθρο :)

Link to comment

Security vs. usability. Eίναι μια απόφαση που ο καθένας πρέπει να την λάβει μόνος του.

 

Σε περιβάλλοντα όμως υψηλής κρισιμότητας π.χ. τράπεζες, ο κανόνας της χρησιμοποίησης των ελάχιστων δικαιωμάτων που είναι απαραίτητα για μια εργασία, κατά την άποψη μου είναι απαράβατος.

 

Το παραπάνω attack μπορούμε να το αποφύγουμε θέτοντας σε ισχύ το NTLM Blocker feature του Windows 2008 R2.

Link to comment
Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...