Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:
Вы должны обожать людей, которые тратят свое время на разработку бесплатных средств. То, что эти средства бесплатны, – это здорово, но, помимо этого, многие из них еще и постоянно изменяются, что тоже чертовски приятно. Мы должны поблагодарить Марка Риссиновича и Дэйва Соломона из Sysinternals за то, что они разработали большое количество бесплатных средств, которые называются PsTools. Все средства, входящие в набор PsTools, запускаются из командной строки с помощью cmd.exe. Многие ли из вас думают о средствах командной строки то же самое, что и я? Когда дело доходит до командной строки, я сразу начинаю думать о неприятностях: о хакерах, взламывающих системы, или об их действиях внутри уже взломанной сети. Большинство средств для взлома как раз и запускаются из командной строки. В данной статье мы рассмотрим функциональность набора средств PsTools и узнаем, как и зачем может использовать эти средства системный администратор или специалист по безопасности.
Сегодня средства из набора PsTools нравятся как хакерам, так и системным администраторам, и тому есть несколько причин. Данные средства малы по размеру, однако, достаточно функциональны. Весьма удобно обладать маленькой программкой, позволяющей вам удаленно перегрузить компьютер или, например, выдать системную информацию. Общим у всех средств является удаленный способ управления компьютером. Вот почему я думаю о хакерах, когда речь заходит о средствах командной строки, и PsTools не исключение. Помня об этом, опробуйте данные средства в тестовом окружении, чтобы узнать, как они работают и для чего они могут вам пригодиться.
Для описания некоторых из этих средств я буду использовать их после получения системного уровня доступа к компьютеру в моей тестовой сети. Таким образом, вы сможете увидеть, как хакеры используют данные средства. Для получения привилегий на удаленное выполнение программ я буду использовать программу Metasploit Framework. Зачем разрабатывать собственные средства, если можно использовать упомянутую выше программу? После Metasploit для своих упражнений я воспользуюсь VMware и tcpdump.exe. Теперь, воспользовавшись данными средствами, давайте перейдем к первой программе пакета PSTools.
Средство psexec используется для удаленного запуска программ на компьютерах. Ранее я использовал psexec для запуска программ, установленных на альтернативных потоках данных. Порой, если хакер получает доступ к одному из компьютеров, вы сможете заметить передачу psexec. Когда я писал вышеупомянутую статью, средство psexec работало прекрасно. Теперь я обнаружил в нем несколько странных моментов. Оно не хотело работать, и мне пришлось потратить около часа на то, чтобы найти, в чем причина. Я заставил ее работать, но с синтаксисом, отличным от того, что был описан в указанной статье. Я был бы рад, если бы вы сообщили мне, что изменилось. Ну а теперь посмотрим, как использовать psexec с помощью обратной оболочки, предоставляемой Metasploit.
Рисунок 1
Из Рисунка 1 видно, что программа psexec запустилась успешно. Хотя ipeye.exe (средство командной строки для сканирования портов, о котором я напишу позднее) работает, оно выдает код ошибки 0. Странно, поскольку такого никогда не случалось прежде, однако, тест работает, и мы смогли удаленно запустить программу с помощью psexec. Если вы обладаете системным уровнем доступа на удаленном компьютере через оболочку, вы можете запустить на нем любую программу. Поиграйтесь с psexec, познакомьтесь поближе с этим средством, поскольку оно обладает некоторыми параметрами, которые могут показаться вам интересными.
Данное средство позволяет вам видеть, какие файлы открыты удаленно на компьютере, где запущена эта программа. То есть, если вы запустите psfile, скажем, на компьютере 192.168.1.100, вы увидите, какие файлы на 192.168.1.100 просматриваются удаленными компьютерами. Однако, вы не увидите IP-адреса удаленных компьютеров. Зато вы сможете закрыть любой из просматриваемых файлов. Это достаточно удобное средство. Но лучше один раз увидеть, чем сто раз услышать, поэтому давайте посмотрим, как выглядит данное средство в работе.
Рисунок 2
Как видно из Рисунка 2, psfile выдает список удаленно открытых файлов и локальный путь к ним. Достаточно удобно, особенно если вы обнаружите в своей системе новые папки, которых раньше не было!
Последним средством, которое мы рассмотрим сегодня, будет psgetsid. Данное средство позволяет запрашивать SID компьютера. Весьма полезно, если вы не относитесь к тем, кто любит ковыряться в реестре. Данная программа также позволяет не только просматривать SID компьютера, но и указывать имена учетных записей. Например, если вы хотите увидеть SID учетной записи администратора, просто сделайте все так, как показано на Рисунке 3.
Рисунок 3
Итак, мы рассмотрели некоторые из средств, входящих в состав пакета PsTools. В следующих частях статьи мы расскажем об оставшихся. С помощью этих средств вы, как сетевой администратор, будете не только лучше управлять вашей сетью, но и сможете распознать потенциально опасные активности в вашей сети. Как и большинство хороших программ, эти используются и администраторами, и хакерами. Многообразие и функциональность этих средств – это то, что, в первую очередь, делает их крайне привлекательными. Можно придумать много различных сценариев, в которых используются данные средства командной строки. Часто информация без контекста ничего из себя не представляет, а в данном случае контекстом будет служить пример использования. После окончания описания всех средств, все станет гораздо прозрачнее. Вы увидите, что одно средство естественно переходит к другому и т.д. До встречи в Части 2.
Источник www.windowsecurity.com