Comments 56
Я давно не имел дела с виндой, так что поправьте меня, если я не прав. Но насколько я помню, код выполняющийся под SYSTEM имеет достаточно прав что бы перечислить все процессы всех пользователей, замапить себе их память, положить туда любой код и делать другие интересные штуки. Так что возможность штатными средствами подключиться к сессии уже не выглядит такой ужасной.
все что вы описали могут люди, хоть немного понимающие си и подобное. А сабж могут пользовать кулхацкеры и просто продвинутые пользователи обычными утилитами, если я все верно понял.
Ну окей, пользуясь уже упомянутой psexec пользователь с локальными админскими правами может запустить в чужой сессии кейлоггер и украсть все пароли. Для этого не надо знать системное программирование.
Просто найденная «уязвимость» звучит как «о ужас, пользователь с админскими правами может творить что угодно с компьютером!»
Просто найденная «уязвимость» звучит как «о ужас, пользователь с админскими правами может творить что угодно с компьютером!»
UFO just landed and posted this here
Так и есть. Человек может, например, принести свой собственный ноут (он там админ), и делать в сети что угодно. Доменных прав не будет, да.
Что за чушь?
Прошу прощения, невнимательно отвечал на вопрос. К повышению прав доменного юзера с помощью прав локального админа это случай никак не относится.
А «человек с правами локального админа может сотворить что угодно в сети» — да. Не все, но достаточно много.
А «человек с правами локального админа может сотворить что угодно в сети» — да. Не все, но достаточно много.
Ну 90% «хакеров» — это просто пользователи, знающие список «хакерских» утилит… так что для этого не надо знать си и подобное, просто почитывать всякие «стань хакером за 20 минут, скачав хакерские тулзы» =)
Человек, знающий си, напишет эксплойт…
Да, откровенно жёлтая статья.
Давно хочу спросить, вы аудиторию с сайтом хакер.ру не путаете? А то картинки да и слог вообще как-то диссонируют с хабром.
Если я локальный администратор на компьютере, это вовсе не значит, что мне можно шастать по всей сети и заглядывать во все ее потаенные места.
Нет, просто это значит, что на этой машине вы можете всё.
А если вы root на unix-машине, и кто-нибудь зашёл на неё по ssh с пробросом agent, то, пока его сессия активна, вы можете пробросить себе его SSH_AUTH_SOCK и логиниться на все сервера, где он может. Более того, вы можете это делать со всеми ключами в его ssh-агенте, а не только с тем, которым он заходил на сервер.
Ужас-ужас, галектеко опасносте.
Как же так, ребята? Если я локальный администратор на компьютере, это вовсе не значит, что мне можно шастать по всей сети и заглядывать во все ее потаенные местаЧленство в группе «локальные администраторы компьютера» — ну совсем не означает, что он имеет хоть какие-то права в доменной сети.
То бишь деревенский староста — конечно фигура у себя в деревне, но в соседнем ПГТ — так, кандидат на в морду дать просто так =)
По поводу «бага» в Windows…
Если закрыть этот «баг» то завершение сеансов неквалифицированных пользователей, которые не закрывают RDP-сессии превратиться в сущий ад. Кто не в теме, просто дропать сеансы не всегда можно, там может потребоватьcя еще сохранить мегаважный Excel.
С точки зрения безопасности, доводы не убедительный. В случае компрометации админа или SYSTEM злоумышленики смогут сделать все тоже а даже больше другими инструментами.
Microsoft, пожалуйста, не латай этот «баг» :)
Если закрыть этот «баг» то завершение сеансов неквалифицированных пользователей, которые не закрывают RDP-сессии превратиться в сущий ад. Кто не в теме, просто дропать сеансы не всегда можно, там может потребоватьcя еще сохранить мегаважный Excel.
С точки зрения безопасности, доводы не убедительный. В случае компрометации админа или SYSTEM злоумышленики смогут сделать все тоже а даже больше другими инструментами.
Microsoft, пожалуйста, не латай этот «баг» :)
А зачем вообще нужно завершать RDP-сессии? Ну висят они и пусть себе висят.
В зависшей сессии может быть, например, открыта база 1С, и повторно подключиться не получится. Когда-то это было актуально.
Бывает, что они зависают, и пользователь не может переподключиться или наблюдает чёрный экран. Если бы не было возможности их закрывать, приходилось бы перезагружать весь сервер.
Ctrl+Alt+End этому чёрному экрану (аналог Ctrl+Alt+Del, но через RDP) и попробовать подключиться ещё раз.
Обычно спасает от необходимости перезагрузки.
Обычно спасает от необходимости перезагрузки.
Предлагаете дойти до машины пользователя, где запускалась RDP-сессия? Вы настолько неленивый админ? А если пользователь очень удалённый, что и является причиной, по которой он через RDP на сервере работает? Объяснять ему комбинацию клавиш по телефону? А если это работник «простосделайужечтонибудь»?
Быстрее и меньше нервотрёпки взять и с сервера завершить сеанс пользователя.
Быстрее и меньше нервотрёпки взять и с сервера завершить сеанс пользователя.
UFO just landed and posted this here
Членство в группе «локальные администраторы компьютера» — ну совсем не означает, что он имеет хоть какие-то права в доменной сети.
Если на том же компьютере есть доменный пользователь, то делегируем права локальному, запускаем PSHELL и хоть какие-то права права в домене, не только чтение. О подробностях умолчу, тут не хакер, ру .Прочтите и домыслите.
Если на том же компьютере есть доменный пользователь, то делегируем права локальному, запускаем PSHELL и хоть какие-то права права в домене, не только чтение. О подробностях умолчу, тут не хакер, ру .Прочтите и домыслите.
В нормальной корпоративной сети пользователи не имеют прав локального администратора. А если это не так, то перехват чужой сессии — не самое страшное.
Они могут его получить в любое время, имея физический доступ к своему компьютеру.
UFO just landed and posted this here
Помнится из соображений безопасности удалили локальных админов на всех машинах, далее на одной машине пользователь поменял DNS адреса на гугловские по советам из интернетов, в результате у него компьютер не смог залогиниться в домене, а локального пользователя мы не оставили…
UFO just landed and posted this here
Простите. Расскажите мне, пожалуйста:
1. как Вы удалили не удаляемого build-in Администратора.
2. как с пользовательскими правами поменять DNS-адреса на гугловские?
3. и почему имея физический доступ к машине у Вас не получилось материализовать сколь угодное количество локальных учеток с любыми правами в считанные минуты используя WinPE?
У меня такое ощущение, что Вы пи… приукрашиваете.
1. как Вы удалили не удаляемого build-in Администратора.
2. как с пользовательскими правами поменять DNS-адреса на гугловские?
3. и почему имея физический доступ к машине у Вас не получилось материализовать сколь угодное количество локальных учеток с любыми правами в считанные минуты используя WinPE?
У меня такое ощущение, что Вы пи… приукрашиваете.
Вы фееричны!
Достаточно навесить IP-адрес гугловского DNS-сервера на локальный DNS-сервер (ну, может, ещё пошаманить с роутингом), и всё прекрасно работает.
Достаточно навесить IP-адрес гугловского DNS-сервера на локальный DNS-сервер (ну, может, ещё пошаманить с роутингом), и всё прекрасно работает.
Шаманить с роутингом и DNS можно без прав администратора?
Речь о том, как админу спасти компьютер пользователя, на котором гугловские DNS.
Админ-то имеет доступ к DNS-серверу организации, где он работает?
Админ-то имеет доступ к DNS-серверу организации, где он работает?
Как это ему поможет в данной ситуации?
В ситуации, когда есть проблемы с сетью, пешая прогулка неизбежна.
В ситуации, когда есть проблемы с сетью, пешая прогулка неизбежна.
Ну вот описана проблема: компьютер в домене, локальный администратор заблокирован, локального пользователя нет, DNS гугловские, под доменным пользователем не залогиниться.
Ваши варианты спасения компьютера?
Можно, конечно, DNS локального компа поправить, просто загрузившись с какого-нибудь WinPE.
Мне кажется, что у Вас некоторое недопонимание ситуации возникает, или я не понимаю Ваших недоуменных вопросов.
Ваши варианты спасения компьютера?
Можно, конечно, DNS локального компа поправить, просто загрузившись с какого-нибудь WinPE.
Мне кажется, что у Вас некоторое недопонимание ситуации возникает, или я не понимаю Ваших недоуменных вопросов.
Ну, я других вариантов, кроме пешей прогулки и WinPE не вижу.
А чем поможет доступ к DNS-серверу?
А чем поможет доступ к DNS-серверу?
Можно сетевой карте назначить вторым ip-адресом 8.8.8.8 и потерянный компьютер внезапно начнёт стучаться на этот сервер. Когда TTL пройдёт на закэшированную запись. Но ведь никто не говорил, что это единственный вариант и самый оптимальный. И уж тем более, что это должен делать пользователь.
Да, может получиться ;)
Но я бы так делать не рискнул. Лучше уж роутингом нашаманить правило для ровно одного компа. Вносить изменения в доменную инфраструктуру ради установления контроля над одним компом — нафиг-нафиг.
Но я бы так делать не рискнул. Лучше уж роутингом нашаманить правило для ровно одного компа. Вносить изменения в доменную инфраструктуру ради установления контроля над одним компом — нафиг-нафиг.
Для шаманства с роутингом надо иметь админские права на совсем другой машине — не на той, на которой «удалили локальных админов». Весьма вероятно, это вообще не писюк, а если писюк — то не факт, что под Windows.
Прочитайте пост, на который я отвечал. Я решал конкретную проблему, описанную там.
Прочитайте пост, на который я отвечал. Я решал конкретную проблему, описанную там.
Так в нашем HTTPS трафике кроме АНБ ещё копается операционка, антивирус и комутатор провайдера?
Поясните про перехват сессии.
Вот давайте представим, у нас есть сервер с какой нибудь «АРМ Фиалка для рассчётам смет согласно приказу Минстроя № 895-9494/2001 и отправки отчётности» — за админство этого сервака отвечает подрядчик, поэтому у него есть админские права на этот сервер и доступ через VPN. Это абсолютно нормально.
И вот на этот сервер заходит самый главный админ нашей корпорации из-под админской учётки с правами администратора домена.
Может ли подрядчик теперь перехватить сессию админа корпорации и получить полную власть над доменом?
Вот давайте представим, у нас есть сервер с какой нибудь «АРМ Фиалка для рассчётам смет согласно приказу Минстроя № 895-9494/2001 и отправки отчётности» — за админство этого сервака отвечает подрядчик, поэтому у него есть админские права на этот сервер и доступ через VPN. Это абсолютно нормально.
И вот на этот сервер заходит самый главный админ нашей корпорации из-под админской учётки с правами администратора домена.
Может ли подрядчик теперь перехватить сессию админа корпорации и получить полную власть над доменом?
Sign up to leave a comment.
Security Week 12: опасная фича в Windows, китайские хакеры сломали все вокруг, инспектировать HTTPS надо с умом