Tekenvertragings is algemeen vir enige groot maatskappy. ’n Uitsondering was die ooreenkoms tussen Tom Hunter en een netwerk troeteldierwinkel vir deeglike toetsing. Ons moes die webwerf, en die interne netwerk, en selfs 'n werkende Wi-Fi nagaan.
Dit is nie verbasend dat die hande gejeuk het voordat al die formaliteite afgehandel is nie. Wel, skandeer net die webwerf net vir ingeval, dit is onwaarskynlik dat so 'n bekende winkel soos die Baskerville Dog al foute hier sal maak. 'n Paar dae later is die getekende oorspronklike van die kontrak aan Tom afgelewer - op hierdie tydstip, oor die derde beker koffie, het Tom van die interne CMS die toestand van die pakhuise met belangstelling beoordeel ...
Bron:
Maar dit was nie moontlik om veel in die CMS te doen nie - Tom Hunter se IP is deur die werfadministrateurs verban. Alhoewel dit moontlik sou wees om tyd te hê om bonusse op die winkelkaart te genereer en jou geliefde kat vir baie maande goedkoop te voer ... "Nie hierdie keer nie, Darth Sidious," dink Tom met 'n glimlag. Dit sal nie minder interessant wees om van die webwerf-sone na die kliënt se plaaslike netwerk te gaan nie, maar hierdie segmente is blykbaar nie by die kliënt verbind nie. Tog is dit meer dikwels die geval in baie groot maatskappye.
Na al die formaliteite het Tom Hunter homself met die verskafde VPN-rekening bewapen en na die kliënt se plaaslike netwerk gegaan. Die rekening was binne die Active Directory-domein, so dit was moontlik om 'n AD-storting te neem sonder enige spesiale truuks - om alle publiek beskikbare inligting oor gebruikers en werkende masjiene saam te voeg.
Tom het die adfind-nutsding begin en LDAP-navrae na die domeinbeheerder begin stuur. Met 'n filter op die objectCategory-klas, wat persoon as 'n kenmerk spesifiseer. Die antwoord word teruggestuur met die volgende struktuur:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZBoonop was daar baie nuttige inligting, maar die interessantste was in die >beskrywing: >beskrywing-veld. Dit is 'n opmerking oor die rekening - basies 'n gerieflike plek om klein notas te hou. Maar die administrateurs van die kliënt het gedink dat die wagwoorde maklik hier kan lê. Wie stel tog dalk in al hierdie onbeduidende kantoorrekeninge belang? Dus was die opmerkings wat Tom gekry het:
Создал Администратор, 2018.11.16 7po!*VqnJy hoef nie sewe spanne in die voorkop te wees om te verstaan waarvoor die kombinasie aan die einde nuttig is nie. Dit het oorgebly om die groot antwoordlêer vanaf die CD te ontleed deur die >beskrywingsveld te gebruik: en hier is hulle - 20 aanmeldwagwoordpare. En byna die helfte het toegangsregte op RDP. 'n Goeie vastrapplek, tyd om die aanvallende magte te verdeel.
netwerk omgewing
Die toeganklike ballonne van die Hound of the Baskervilles het in al sy chaos en onvoorspelbaarheid soos 'n groot stad gelyk. Met gebruikers- en HOP-profiele was Tom Hunter 'n arm seun in hierdie stad, maar selfs hy het baie gehad om deur die blink vensters van veiligheidsbeleid te sien.
Dele van lêerbedieners, grootboekrekeninge en selfs verwante skrifte is almal aan die publiek beskikbaar gestel. In die instellings van een van hierdie skrifte het Tom die MS SQL-hash van een gebruiker gevind. 'n Bietjie brute force magic - en die gebruiker se hash het in 'n gewone teks wagwoord verander. Dankie aan John The Ripper en Hashcat.
Hierdie sleutel moes by een of ander bors gekom het. Die bors is gevind, en boonop is nog tien “kiste” daarmee geassosieer. En binne die ses lê ... supergebruikersregte, nt gesagstelsel! Op twee was dit moontlik om die xp_cmdshell-gebergde prosedure uit te voer en cmd-opdragte na Windows te stuur. Wat anders om te wens?
Domeinbeheerders
Tom Hunter het die tweede slag vir domeinbeheerders voorberei. Daar was drie van hulle in die "Dogs of the Baskervilles"-netwerk - in ooreenstemming met die aantal geografies afgeleë bedieners. Elke domeinbeheerder het 'n publieke vouer, soos 'n oop venster in 'n winkel, waarby dieselfde bedelaarseun Tom rondhang.
En hierdie keer was die kind weer gelukkig - hulle het vergeet om die skrif uit die vertoonkas te verwyder, waar die wagwoord van die plaaslike bedieneradministrateur hardkodeer was. Die pad na die domeinbeheerder was dus oop. Komaan, Tom!
Hier is die towerhoed uitgehaal , wat voordeel getrek het uit verskeie domeinadministrateurs. Tom Hunter het toegang tot al die masjiene op die plaaslike netwerk gekry, en die duiwelse gelag het die kat van die volgende stoel laat skrik. Hierdie roete was korter as wat verwag is.
EternalBlue
Die herinnering aan WannaCry en Petya is nog lewendig in die gedagtes van pentesters, maar dit lyk asof sommige admins vergeet het van losprysware in die ander aand se nuus. Tom het drie gashere gevind met 'n kwesbaarheid in die SMB-protokol - CVE-2017-0144 of EternalBlue. Dit is dieselfde kwesbaarheid wat die WannaCry- en Petya-ransomware versprei het, 'n kwesbaarheid wat toelaat dat arbitrêre kode op 'n gasheer uitgevoer word. Een van die kwesbare nodusse het 'n domeinadministrasiesessie gehad - "uitbuit en kry". Wat kan jy doen, tyd het nie almal geleer nie.
"Die hond van die Bastervilovs"
Klassieke van inligtingsekuriteit herhaal graag dat die swakste punt van enige stelsel 'n persoon is. Let op dat die opskrif hierbo nie ooreenstem met die naam van die winkel nie? Miskien is nie almal so oplettend nie.
In die beste tradisie van phishing blockbusters, het Tom Hunter 'n domein geregistreer wat een letter verskil het van die Hounds of the Baskervilles-domein. Die posadres op hierdie domein het die adres van die inligtingsekuriteitsdiens van die winkel nageboots. Binne 4 dae vanaf 16:00 tot 17:00 is die volgende brief eweredig na 360 adresse gestuur vanaf 'n vals adres:
Miskien het net hul eie luiheid hulle gered van die massa dreinering van werknemerswagwoorde. Uit 360 briewe is net 61 oopgemaak – die veiligheidsdiens is nie baie gewild nie. Maar toe was dit makliker.
Uitvissing bladsy
46 mense het op die skakel geklik en byna die helfte – 21 werknemers – het nie na die adresbalk gekyk nie en rustig hul aanmeldings en wagwoorde ingevoer. Goeie vangs, Tom.
Wi-Fi netwerk
Nou was dit nie nodig om op die hulp van 'n kat te reken nie. Tom Hunter het 'n paar stukke yster in sy ou sedan gelaai en na die Hounds of the Baskervilles-kantoor gegaan. Sy besoek is nie ooreengekom nie: Tom gaan die kliënt se Wi-Fi toets. In die parkeerterrein van die sakesentrum was daar verskeie leë spasies wat suksesvol in die omtrek van die teikennetwerk ingesluit is. Blykbaar het hulle nie veel oor die beperking daarvan gedink nie - asof die administrateurs lukraak bykomende punte gesteek het in reaksie op enige klagte oor swak Wi-Fi.
Hoe werk WPA/WPA2 PSK-sekuriteit? Enkripsie tussen die toegangspunt en kliënte verskaf 'n voorsessiesleutel - Pairwise Transient Key (PTK). PTK gebruik 'n vooraf-gedeelde sleutel en vyf ander parameters - SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), AP en kliënt MAC-adresse. Tom het al vyf parameters onderskep, en nou ontbreek net die Pre-Shared Key.
Die Hashcat-nutsding het hierdie vermiste skakel binne 50 minute brute-gedwing - en ons held het in die gasnetwerk beland. Daaruit kon jy reeds die werkende een sien - vreemd genoeg, hier het Tom die wagwoord binne sowat nege minute reggekry. En dit alles sonder om die parkeerterrein te verlaat, sonder enige VPN. Die werkende netwerk het ruimtes vir ons held oopgemaak vir monsteragtige aktiwiteite, maar hy ... het nooit bonusse op die winkelkaart geplaas nie.
Tom het stilgebly, op sy horlosie gekyk, 'n paar banknote op die tafel gegooi en, nadat hy gegroet het, die kafee verlaat. Miskien weer pentest, of dalk soos in besluit om te skryf...
Bron: will.com