Как взломать фон Windows
Обновлено: 21.11.2024
Сегодня мы узнаем, как изменить обои в удаленной системе.
Содержание:
- Введение в модуль set_wallpaper
- Изменить обои в Windows
- Сменить обои на Android
Требования
Атакующий: Kali Linux
Цели: Windows, Android
Введение в модуль set_wallpaper
Metasploit Framework в основном построен на языке Ruby. Этот модуль постэксплуатации также сделан на Ruby. При углубленном анализе мы понимаем, что для выполнения своей работы он нацелен на разные сервисы на разных платформах. Этот модуль довольно прост, так как все, что он делает, это устанавливает фон рабочего стола для указанного сеанса.
Когда мы запускаем модуль, сначала файл обоев находится на машине злоумышленника. После этого файл загружается в Victim System, на которой у нас есть сеанс meterpreter. Место, в которое загружается файл, зависит от платформы. Далее скрипт использует подходящий метод и меняет обои. Этот модуль сделан timwr. Этот модуль обычно надежен. Теперь, когда мы знаем о работе модуля, давайте сменим обои.
Изменить обои в Windows
Откройте терминал Kali Linux и введите msfconsole, чтобы загрузить платформу Metasploit. Теперь нам нужно один раз скомпрометировать машину жертвы, чтобы получить сеанс любого типа, будь то интерпретатор или оболочка, и для этого мы можем прочитать нашу предыдущую статью здесь.
После установки meterpreter в удаленной системе пришло время использовать модуль постэксплуатации. Но это невозможно сделать из оболочки meterpreter. Итак, мы будем использовать фоновую команду в сеансе meterpreter или сочетание клавиш «Ctrl + z», чтобы сохранить сеанс в фоновом режиме. Теперь выполните шаги, показанные на изображении, чтобы использовать модуль set_wallpaper после эксплуатации.
Это изменит обои в целевой системе.
Изменить обои на Android
Во-первых, получите сеанс Meterpreter в системе Android. Узнайте об этом здесь.
После установки meterpreter в удаленной системе пришло время использовать модуль постэксплуатации. Но это невозможно сделать из оболочки meterpreter. Итак, мы будем использовать фоновую команду в сеансе meterpreter или сочетание клавиш «Ctrl + z», чтобы сохранить сеанс в фоновом режиме. Теперь выполните шаги, показанные на изображении, чтобы использовать модуль set_wallpaper после эксплуатации.
Metasploit Framework (MSF) — это один из наиболее широко используемых инструментов для тестирования на проникновение, обеспечивающий мощное моделирование атак, управление оценкой безопасности и многое другое.
Meterpreter – это расширенная, динамически расширяемая полезная нагрузка, которая использует промежуточные этапы внедрения DLL в память и расширяется по сети во время выполнения.
Если у вас нет доступа администратора к компьютеру, вы не сможете изменить пароль. Если код привилегий администратора обнаружит, что он работает в Windows 7 с отключенным UAC и работает как локальный администратор, он запустит getsystem и будет использовать метод чтения реестра.
Когда мы используем команду прав администратора на CMD, она возвращает ошибку «доступ запрещен».
Экплойт BypassUAC, позволяющий обойти контроль учетных записей Windows в Windows Vista и Windows 7 в операционных системах x86 и x64. Эта проблема до сих пор не исправлена, и ее все еще можно использовать в самых последних операционных системах.
Чтобы получить системный уровень или права администратора, мы должны выполнить его от имени администратора, который контролирует мой Windows UAC.
Давайте начнем удаленно менять обои на ПК с Windows
Шаг 1. Во-первых, получите meterpreter на компьютере-жертве и получите привилегию администратора компьютера-жертвы с помощью bypassuac.
Шаг 2. Теперь у нас есть полная оболочка Meterpreter для цели. Теперь сеанс открыт, введите sysinfo для получения системной информации
Шаг 3. Просто введите help, чтобы увидеть больше действий.
Шаг 4: Введите Exit и перейдите к meterpreter (здесь я набрал только команду meterpreter is screenshot для создания снимка экрана ПК-жертвы)
Шаг 5: поиск обоев
Шаг 6: используйте post/multi/manage/set_wallpaper
Шаг 7. Введите параметры
Шаг 8. Установите сеанс 2 [сеанс meterpreter 2 открывается, когда мы запускаем эксплойт bypassuac]
Шаг 9: установите файл wallpaper_file в /root/Desktop/Hacked.jpg
Вот Hacked.jpg, который я скачал с изображений Google и сохранил на рабочий стол.
Шаг 10. Просмотрите обои моей жертвы Windows, прежде чем запускать эксплойт для обоев.
Теперь вместо веб-страницы, если бы там находились обои или тема Windows, и вы указали этот URL-адрес в Windows, где ожидалось имя файла, вам было бы предложено ввести имя пользователя и пароль для этого веб-сайта аналогичным образом.
На самом деле, другие программы делают то же самое. Попробуйте вставить удаленный ресурс (например, изображение с защищенного паролем URL-адреса) в Word, и вы увидите похожее диалоговое окно.
Фишинговые атаки? Возможно…
Да, в некотором смысле, эта «предназначенная функция» может быть использована для фишинговых атак: если неопытный пользователь, увидев системное диалоговое окно, вводит свои учетные данные Windows или Microsoft, а не веб-сайта.
Однако я бы сказал, что в этом случае пользователь действительно не знает, что делает, и нуждается в дополнительном обучении компьютерной безопасности.
Более того, во всех случаях — независимо от того, устанавливали ли вы удаленные обои или вставляли изображение в документ Word, имя веб-сайта, запрашивающего пароль, четко отображается.
Может быть, вообще отключить параметр, разрешающий вставку удаленных ресурсов в некоторые места (например, обои и темы)?
Единственный другой способ, который, как мне кажется, может помочь, — это добавление предупреждения во все подобные диалоговые окна.
В конце концов, вероятность того, что (неизвестный) удаленный ресурс или обои, а также учетная запись Windows пользователя используют один и тот же набор учетных данных, ничтожно мала.
Взлом NTLM «Pass-the-hash»: более серьезный
Теперь это проблема... Простое добавление предоставленных злоумышленником обоев или файла темы Windows в вашу систему приведет к подключению к серверу злоумышленника и обмену вашими хэшами NTLM без вашего ведома или явного согласия.
Хотя хэши NTLM зашифрованы, их взлом может занять не так много времени, как говорит нам история.
«При атаке Pass-the-Hash отправленные учетные данные перехватываются злоумышленниками, которые затем пытаются дехешировать пароль, чтобы получить доступ к имени пользователя и паролю посетителя», — пишет Абрамс.
"В тесте, ранее проведенном BleepingComputer, расшифровка простого пароля заняла примерно 4 секунды!" он продолжает.
Поэтому краткий ответ на вопрос, могут ли обои Windows похитить учетные данные вашей учетной записи Microsoft, будет «да, но это зависит от обстоятельств».
Тем не менее, сохраняется риск «передачи хэша», поскольку злоумышленник сейчас знает ваше имя пользователя Windows и потенциально может угадать или вывести ваш пароль Windows из хэша (если пароль был слабый).
Поэтому пользователям следует воздерживаться от использования файлов обоев и тем Windows из ненадежных источников.
Об авторе
Топор Шарма
Акс Шарма – исследователь в области безопасности, инженер и технический обозреватель. Его работы и экспертные анализы часто освещались ведущими СМИ, такими как Fortune, BleepingComputer, The Register, TechRepublic, CIO и т. д.
Axe специализируется на исследованиях уязвимостей, обратном инжиниринге, разработке программного обеспечения и обеспечении безопасности веб-приложений. Он активный член сообщества OWASP Foundation и Британской ассоциации журналистов (BAJ).
Темы и обои — насколько они могут быть опасны? . Серьезная безопасность: взлом паролей Windows через ваши обои.
Большинство пользователей Windows знакомы со всеми типами файлов. В окнах есть много типов файлов, например, для фотографий JPEG, PNG, для установочных файлов EXE и других.
Если вы годами использовали тип файла, который безвреден, но если вдруг он станет опасным, то это будет для вас огромным шоком. Мы все знаем о рисках, связанных с неизвестными EXE-файлами. Однако загрузка ненадежного файла изображения может быть опасной, особенно файла обоев.
Серьезная безопасность: взлом паролей Windows через обои
На изображении ниже первые два значка выглядят старыми. Это документы с простым старым письменным текстом. Значок в середине, который представляет собой цифровой документ, это настоящий файл с именем document, который на самом деле является текстовым файлом. Эти расширения имен файлов по умолчанию используются в Windows.
Но первые два изображения, показанные ниже, содержат .js, а последние изображения имеют .theme. Несмотря на то, что значки выглядят одинаково, файл может быть опасным.
Если пользователь использует файл .theme, он может предоставить доступ к некоторым ресурсам, таким как пароль. Если файл .theme активирован, пользователю отображается запрос кредита.
Итак, если вы хотите проверить, является ли расширение вредоносным или нет, вы можете перейти в проводник, а затем нажать «Просмотр» > «Расширения имени файла». Затем прокрутите вниз и проверьте, является ли расширение реальным или поддельным.
Если вы открываете ненадежные файлы изображений, это может быть опасно. Windows может предположить, что в приложении или в окне есть неисправленная уязвимость. Возможно, это уловка, используемая для взлома паролей.
Читайте также: