>> ガイドの仕方 > Windowsサーバーを乗っ取る 2012 いくつかの簡単なコマンドでのセッション
方法

WindowsServerをハイジャックする 2012 いくつかの簡単なコマンドでのセッション

  |  Last Update:  |  0 コメントコメント  

数日前、RDPセッションを使用して、サービスの作成を可能にするWindowsサーバーのいくつかの簡単なコマンドで管理者アカウントを乗っ取る方法に関するブログ投稿にリンクするビデオがWebに表示されました。. 興味深いのは、この発見は新しいものではなく、それ以来存在しているということです。 2011, しかし、誰もそれを修正するために何もしませんでした.

それはどのように機能しますか?

攻撃者がサーバーを乗っ取る必要があるのは、コマンドプロンプトにアクセスすることだけです。. そこから, 攻撃者は、コマンドを入力して、アカウントが管理者に属しているかどうかを確認できます。:

→ > whoami

この後, サーバーのアカウントが管理者に属している場合, 攻撃者は、次のコマンドを使用して、コンピューターに関連するドメインを特定できます。:

→ >wmiccomputersystemはドメインを取得します

管理ユーザーが有効なパスワードを持っている場合, 攻撃者は次のコマンドを使用して、サーバーとの現在のセッションのSESSIONNAMEを取得します. コマンドは次のとおりです:

→ >クエリユーザー

この後, 攻撃者には、セッションの状態を示すテーブルが表示されます (アクティブなセッションと切断されたセッション), アイドル時間, ログイン時間とそれに対応するユーザー名. そこから, 攻撃者は、通常次のようなSESSIONNAMEを利用できます– rdp-tcp#80. ハイジャックプロセス自体は、アクティブなセッションを引き継ぐために使用される次のコマンドによって実行されます:

→ > sc create sesshijack binpath =“ cmd.exe / k tscon / dest:rdp-tcp#80”

(rdp-tcpは、可変のセッション名です。)

次に、netstartコマンドが使用されます:

→ >ネットスタートsesshijack

そして、新しいセッションが始まりました, 今回は管理者アカウントから, 管理者パスワードを入力する必要性を直接バイパスする. そこから, >whoamiコマンドが入力されたときの新しいセッション, ユーザーは、アカウントが管理者になったことを確認できるはずです。. そこから, パスワード自体は、次のコマンドを入力して変更できます:

→ >ネットユーザーnopernik {新しいパスワード} //domを追加

この時点でパスワードが変更され、netgroupコマンドを使用してドメイン管理者を変更できます。.

興味深いのは、それらを実行している疑わしいハッカーです, 名前の付いたAlexanderKorznikovは、彼のYouTubeチャンネルで他のセッションハイジャック機能も実行し、彼のブログで説明しています。(https://www.korznikov.com/2017/03/0-day-or-feature-privilege-escalation.html) これは、最新のWindowsServerバージョンでもアクティブです。. このRDPハイジャックセッションが発生する可能性のあるバージョンは次のとおりです:

  • ウィンドウズ 2008
  • ウィンドウズ 7
  • ウィンドウズ 2012 R2
  • ウィンドウズ 10
  • ウィンドウズ 2016

これの実際の影響は何ですか

実際には, 研究者は、誰かがサーバーにアクセスできる場合、サーバー上のさまざまなユーザーを利用できると説明しています. これらは、昼休みにコンピューターを一時的にロックした従業員である可能性があります. 財務管理体制があれば, PoSや他の課金システムのように, システム管理者はそれらを変更し、通常は事前に埋め込まれているコマンドでそれらを制御できます. さらに悪いことに、攻撃者はマルウェアを必要としません。, Windows用の単純なコマンドのみ. 研究者はまた、これは1つのシナリオにすぎず、ユーザープロファイルを外部からスパイして操作でき、攻撃を検出するのが非常に難しい他の多くのシナリオが存在する可能性があることも指摘しました。.

Ventsislav Krastev

Ventsislavは、SensorsTechForumのサイバーセキュリティの専門家です。 2015. 彼は研究してきました, カバー, 最新のマルウェア感染に加えて、ソフトウェアと最新の技術開発のテストとレビューで被害者を支援します. マーケティングも卒業した, Ventsislavは、ゲームチェンジャーとなるサイバーセキュリティの新しいシフトとイノベーションを学ぶことに情熱を注いでいます. バリューチェーン管理を学んだ後, システムアプリケーションのネットワーク管理とコンピュータ管理, 彼はサイバーセキュリティ業界で彼の本当の呼びかけを見つけ、オンラインの安全性とセキュリティに向けたすべてのユーザーの教育を強く信じています.

その他の投稿 - Webサイト

フォローしてください:
ツイッター

関連記事:
  1. セッションランサムウェア [.セッションウイルスファイル] 取り外しガイド セッションランサムウェアウイルスとは? Session ransomware program has appeared...
  2. .rdpウイルスファイル (パラダイスランサムウェア) – 削除する方法 .rdpファイル拡張子はすべてのファイルに配置されます?...
  3. RDPポートシールド: 新しいツールは、ランサムウェアおよびブルートフォース攻撃から保護します Ransomware continues to be a top threat to both individuals...
  4. Rdpウイルスを削除する Rdp Virus Rdp virus is a malicious software identified as...
  5. GitLabは、ユーザーをサイバー攻撃にさらすセッションハイジャックのバグを修正します セッションハイジャックによるユーザーの搾取を狙った攻撃者...
  6. CVE-2019-1181: MicrosoftWindowsBlueKeepのような脆弱性が見つかりました Microsoft Windows users should be well aware that there are...
  7. リモートデスクトップが思ったほど安全ではない理由 リモートデスクトップは、企業に興味深い二分法をもたらします. On one...
  8. 上 15 Linuxのセキュリティの質問あなたが持っていたことを知らなかった 初心者の Linux 管理者とユーザーは、たとえ...

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します