Monday, October 15th, 2018

Набор средств PsTools (Часть 1)

Published on Февраль 3, 2009 by   ·   Комментариев нет

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Вы должны обожать людей, которые тратят свое время на разработку бесплатных средств. То, что эти средства бесплатны, – это здорово, но, помимо этого, многие из них еще и постоянно изменяются, что тоже чертовски приятно. Мы должны поблагодарить Марка Риссиновича и Дэйва Соломона из Sysinternals за то, что они разработали большое количество бесплатных средств, которые называются PsTools. Все средства, входящие в набор PsTools, запускаются из командной строки с помощью cmd.exe. Многие ли из вас думают о средствах командной строки то же самое, что и я? Когда дело доходит до командной строки, я сразу начинаю думать о неприятностях: о хакерах, взламывающих системы, или об их действиях внутри уже взломанной сети. Большинство средств для взлома как раз и запускаются из командной строки. В данной статье мы рассмотрим функциональность набора средств PsTools и узнаем, как и зачем может использовать эти средства системный администратор или специалист по безопасности.

Любимы хакерами и сисадминами

Сегодня средства из набора PsTools нравятся как хакерам, так и системным администраторам, и тому есть несколько причин. Данные средства малы по размеру, однако, достаточно функциональны. Весьма удобно обладать маленькой программкой, позволяющей вам удаленно перегрузить компьютер или, например, выдать системную информацию. Общим у всех средств является удаленный способ управления компьютером. Вот почему я думаю о хакерах, когда речь заходит о средствах командной строки, и PsTools не исключение. Помня об этом, опробуйте данные средства в тестовом окружении, чтобы узнать, как они работают и для чего они могут вам пригодиться.

Подготовка

Для описания некоторых из этих средств я буду использовать их после получения системного уровня доступа к компьютеру в моей тестовой сети. Таким образом, вы сможете увидеть, как хакеры используют данные средства. Для получения привилегий на удаленное выполнение программ я буду использовать программу Metasploit Framework. Зачем разрабатывать собственные средства, если можно использовать упомянутую выше программу? После Metasploit для своих упражнений я воспользуюсь VMware и tcpdump.exe. Теперь, воспользовавшись данными средствами, давайте перейдем к первой программе пакета PSTools.

psexec

Средство psexec используется для удаленного запуска программ на компьютерах. Ранее я использовал psexec для запуска программ, установленных на альтернативных потоках данных. Порой, если хакер получает доступ к одному из компьютеров, вы сможете заметить передачу psexec. Когда я писал вышеупомянутую статью, средство psexec работало прекрасно. Теперь я обнаружил в нем несколько странных моментов. Оно не хотело работать, и мне пришлось потратить около часа на то, чтобы найти, в чем причина. Я заставил ее работать, но с синтаксисом, отличным от того, что был описан в указанной статье. Я был бы рад, если бы вы сообщили мне, что изменилось. Ну а теперь посмотрим, как использовать psexec с помощью обратной оболочки, предоставляемой Metasploit.

Ps tools удаленная командная строка

Рисунок 1

Из Рисунка 1 видно, что программа psexec запустилась успешно. Хотя ipeye.exe (средство командной строки для сканирования портов, о котором я напишу позднее) работает, оно выдает код ошибки 0. Странно, поскольку такого никогда не случалось прежде, однако, тест работает, и мы смогли удаленно запустить программу с помощью psexec. Если вы обладаете системным уровнем доступа на удаленном компьютере через оболочку, вы можете запустить на нем любую программу. Поиграйтесь с psexec, познакомьтесь поближе с этим средством, поскольку оно обладает некоторыми параметрами, которые могут показаться вам интересными.

psfile

Данное средство позволяет вам видеть, какие файлы открыты удаленно на компьютере, где запущена эта программа. То есть, если вы запустите psfile, скажем, на компьютере 192.168.1.100, вы увидите, какие файлы на 192.168.1.100 просматриваются удаленными компьютерами. Однако, вы не увидите IP-адреса удаленных компьютеров. Зато вы сможете закрыть любой из просматриваемых файлов. Это достаточно удобное средство. Но лучше один раз увидеть, чем сто раз услышать, поэтому давайте посмотрим, как выглядит данное средство в работе.

Ps tools удаленная командная строка

Рисунок 2

Как видно из Рисунка 2, psfile выдает список удаленно открытых файлов и локальный путь к ним. Достаточно удобно, особенно если вы обнаружите в своей системе новые папки, которых раньше не было!

psgetsid

Последним средством, которое мы рассмотрим сегодня, будет psgetsid. Данное средство позволяет запрашивать SID компьютера. Весьма полезно, если вы не относитесь к тем, кто любит ковыряться в реестре. Данная программа также позволяет не только просматривать SID компьютера, но и указывать имена учетных записей. Например, если вы хотите увидеть SID учетной записи администратора, просто сделайте все так, как показано на Рисунке 3.

Pstools

Рисунок 3

Wrapup

Итак, мы рассмотрели некоторые из средств, входящих в состав пакета PsTools. В следующих частях статьи мы расскажем об оставшихся. С помощью этих средств вы, как сетевой администратор, будете не только лучше управлять вашей сетью, но и сможете распознать потенциально опасные активности в вашей сети. Как и большинство хороших программ, эти используются и администраторами, и хакерами. Многообразие и функциональность этих средств – это то, что, в первую очередь, делает их крайне привлекательными. Можно придумать много различных сценариев, в которых используются данные средства командной строки. Часто информация без контекста ничего из себя не представляет, а в данном случае контекстом будет служить пример использования. После окончания описания всех средств, все станет гораздо прозрачнее. Вы увидите, что одно средство естественно переходит к другому и т.д. До встречи в Части 2.

Источник www.windowsecurity.com


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]