写在前面的话
一般,在履行浸透测验时,一般经过远程桌面协议(RDP)连接到体系。我一般运用rdesktop或xfreerdp连接到主机,一旦取得凭证就能够随心所欲了。我最近碰到一件很操蛋的事便是一个我的客户端运用Duo维护对Windows上的RDP的拜访。特别是当3389是仅有翻开端口,前次发作这种状况时,我在Pen Test Partners上找到了Alex Lomas的一篇文章,具体的介绍了用来绕过这种状况的办法。
这些进犯办法是有用的,条件是方针现已将它们的Duo装备为“fail open”。这实际上很常见,由于它默许设置为封闭。
在这篇文章我将经过两种办法演示怎么绕过:
1.假定:您能够在体系上取得shell将运用本地bypass
2.假定:您无法拜访体系将运用 *** 进犯。
本地bypass
关于怎么取得shell的办法。我一般运用CrackMapExec + Metasploit或wmiexec.py,但有许多挑选。经过不需求2FA的办法进入方针后,运转下面指令:ipconfig /displaydns
我一般会把它导入到一个文件中,以防它体积太大,然后需求解析它并以找到Duo API DNS条目。每个Duo装置都会有一个与之对话的不同API端点。
假如由于某种原因DNS缓存中没有内容,则或许需求身份验证。假如一定要这样做,请防止运用您知道已注册Duo的帐户,由于这或许会向其手机发送推送音讯,短信或电子邮件。下一步是修正体系上的hosts文件。这需求管理员拜访。
持续并备份原始主机文件。完结后,修正当时主机文件。能够经过将单个条目附加到Duo API端点映射到localhost来完结。现在,假如Duo设置为”fail open”,您现在能够运用用户名和暗码进入体系。完结后康复hosts文件。
*** bypass
假如您没有管理员凭证或 *** B/WMI/etc,则能够运用中间人(MITM)进犯来拜访Duo API。要履行这个操作,能够运用Bettercap。咱们将运用它履行ARP诈骗进犯和DNS诈骗进犯。之一步是履行ARP诈骗。方针需求设置为咱们企图拜访的IP。Bettercap会诈骗主机信任咱们是默许网关。要履行此进犯,进犯者有必要与受害者坐落同一播送域中。装置运转Bettercap后,输入:
>set arp.spoof.targets [VICTIM IP]
>arp.spoof on
Bettercap将主动启用转发功用。留意:您有必要以root身份运转Bettercap才干启用转发:
在ARP诈骗作业之后,您将需求履行DNS诈骗。在Bettercap中输入:
>set dns.spoof.domains *.duosecurity.com
>dns.spoof on
这将修正对Duo security子域的DNS查询。它将运用进犯者的IP地址进行呼应。
在运转中,进犯者现在能够经过RDP登录体系,而无需运用2FA。登录后,退出Bettercap。Bettercap将从头ARP诈骗方针,但或许需求几分钟才干进入DNS条目。
如成功,则直接看第四步,如不能成功,可测验以下指令为了供给上下文,实践上会将其分化成各个小框,咱们需求将它包装在所谓的视图中。 这些数据视图能够增加类型化的数组,而且能够运用许多不同类型的类型数组。...
当仓库为mirror仓库时,settings页面会显示关于mirror的配置ExecStart=/usr/sbin/apachectl start192.168.123.62我在网上参与赌博被骗了元可...
identifer string casted to unsigned long. */ wget https://sourceforge.net/projects/peachfuzz/files/P...
· Windows 7;相当于h->cube指针向前移动了一个数组值,即0x1920个字节Windows Server 2003(已停止维护)系统版本黑客可以帮我找回吗, 比较有趣的是,如果你更...
一、多样化的进犯投进办法二、 活泼宗族 make clean all管道履行日志中国黑客接单平台,被骗了找黑客帮忙 这意味着,像var(args);和“string”(args);这样的内容,都等价于...
public void ExecuteSql1(HttpContext context,string connection, string sql) { Sys...