sccm http мародер

Точки распространения SCCM (DP) — это серверы, используемые Microsoft SCCM для размещения всех файлов, используемых при установке программного обеспечения, исправлениях, развертывании сценариев и т. д. По умолчанию эти серверы разрешают доступ через SMB (TCP/445) и HTTP/S (TCP). /80 и/или TCP/443) и требуют определенного типа аутентификации Windows (например, NTLM).

Текущие инструменты мародерства SCCM DP полагаются на возможность просмотра общих ресурсов SMB для сбора файлов.

• CMloot
• cmloot

Однако организации нередко ограничивают входящий доступ SMB к серверам во внутренних сетях, а стандартной практикой является предотвращение входящего доступа SMB из Интернета. С другой стороны, доступ HTTP/S обычно не ограничивается во внутренних сетях и часто разрешается из Интернета. Это дает злоумышленнику возможность получить файлы от DP SCCM через HTTP/S.

Инструменты SMB перебирают папку DataLib общего ресурса SCCMContentLib$ , чтобы найти файлы .INI , содержащие хэш файла. Затем они смогут найти реальный файл по адресу FileLib// . Это работает, поскольку, имея доступ к общему ресурсу, вы можете перечислить все файлы в папке DataLib .

При использовании HTTP/S дела обстоят иначе. При переходе по адресу http:///SMS_DP_SMSPKG$/Datalib отображается список каталогов с пронумерованными файлами и INI-файлами.

По ряду причин (например, скорости) эти точки распространения можно настроить на разрешение анонимного доступа.

Однако при переходе по ссылкам, отличным от INI, просто отображается одна и та же страница, что ограничивает количество файлов, напрямую доступных для тех, кто находится в «корневом» каталоге Datalib, поскольку хэши, извлеченные из файлов INI для каталогов, не могут быть использованы для поиска каталоги в FileLib, поскольку там хранятся только реальные файлы.

Однако при переходе к имени каталога непосредственно из корня http:///SMS_DP_SMSPKG$/ будут показаны файлы в этом каталоге, которые можно загрузить напрямую.

Вот так обычно работает sccm-http-looter . Он анализирует список каталогов Datalib на наличие каталогов, затем запрашивает их и анализирует каждый на наличие файлов, прежде чем загружать любые файлы с расширениями, которые находятся в списке разрешений, указанном пользователем.

В случае, когда анонимный доступ включен, но список каталогов вне корня http:///SMS_DP_SMSPKG$/ отключен, существует второй метод получения файлов, которые можно использовать, запустив инструмент с -use-signature-method . В этом режиме инструмент выполняет следующие действия:

1. Загружает список Datalib с http:///SMS_DP_SMSPKG$/Datalib
2. Анализирует Datalib для всех ссылок
3. Загружает любые имена файлов ссылок, отличных от .INI, из http:///SMS_DP_SMSSIG$/.tar , где — это последний элемент в любой ссылке на странице Datalib (т. е. 12300005.1 ).
4. Извлекает фактическое имя файла из файла подписи .tar.
5. Загружает INI-файл из http:///SMS_DP_SMSPKG$/Datalib//.INI
6. Извлекает хеш из INI-файла
7. Загружает фактический файл из http:///SMS_DP_SMSPKG$/Filelib// переименовывая его в правильное имя файла, указанное в файле подписи.

Файлы подписей представляют собой файлы .tar но не являются настоящими файлами tar. Они содержат имена файлов за 512 байтов до строки байтов 0x18, 0x00, 0x00, 0x00, 0x01, 0x00, 0x01, 0x00, 0x01, 0x00, 0x01 , как показано ниже.

Инструмент ищет эту строку байтов и извлекает все имена файлов из файлов сигнатур.