التأخير في التوقيع أمر شائع في أي شركة كبيرة. لم تكن الاتفاقية المبرمة بين Tom Hunter وسلسلة متاجر للحيوانات الأليفة لإجراء اختبار شامل استثناءً. كان علينا التحقق من موقع الويب والشبكة الداخلية وحتى شبكة Wi-Fi العاملة.
ليس من المستغرب أن أشعر بالحكة في يدي حتى قبل تسوية جميع الإجراءات الشكلية. حسنًا، فقط قم بمسح الموقع فقط في حالة أنه من غير المرجح أن يرتكب متجر مشهور مثل "The Hound of the Baskervilles" أخطاء هنا. وبعد بضعة أيام، تم تسليم توم أخيرًا العقد الأصلي الموقع - في هذا الوقت، أثناء تناول الكوب الثالث من القهوة، قام توم من نظام إدارة المحتوى الداخلي بتقييم حالة المستودعات باهتمام...
المصدر:
لكن لم يكن من الممكن إدارة الكثير في نظام إدارة المحتوى - حيث قام مسؤولو الموقع بحظر عنوان IP الخاص بـ Tom Hunter. على الرغم من أنه قد يكون لديك الوقت لتوليد مكافآت على بطاقة المتجر وإطعام قطتك المفضلة بسعر رخيص لعدة أشهر... "ليس هذه المرة يا دارث سيديوس"، فكر توم مبتسمًا. لن يكون الانتقال من منطقة موقع الويب إلى الشبكة المحلية للعميل أقل إثارة للاهتمام، ولكن من الواضح أن هذه القطاعات غير متصلة بالعميل. ومع ذلك، يحدث هذا في كثير من الأحيان في الشركات الكبيرة جدًا.
بعد كل الإجراءات الشكلية، قام توم هنتر بتسليح نفسه بحساب VPN المقدم وانتقل إلى الشبكة المحلية للعميل. كان الحساب داخل مجال Active Directory، لذلك كان من الممكن تفريغ AD دون أي حيل خاصة - مما يؤدي إلى استنزاف جميع المعلومات المتاحة للجمهور حول المستخدمين وأجهزة العمل.
أطلق توم الأداة المساعدة adfind وبدأ في إرسال طلبات LDAP إلى وحدة تحكم المجال. باستخدام مرشح في فئة فئة الكائن، يتم تحديد الشخص كسمة. وجاء الرد بالهيكل التالي:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0Zبالإضافة إلى ذلك، كان هناك الكثير من المعلومات المفيدة، ولكن الأكثر إثارة للاهتمام كان في >الوصف: >حقل الوصف. هذا تعليق على حساب - وهو في الأساس مكان مناسب للاحتفاظ بالملاحظات البسيطة. لكن مسؤولي العميل قرروا أن كلمات المرور يمكن أيضًا أن تبقى هناك بهدوء. فمن، في نهاية المطاف، قد يكون مهتمًا بكل هذه السجلات الرسمية غير المهمة؟ لذا فإن التعليقات التي تلقاها توم كانت:
Создал Администратор, 2018.11.16 7po!*Vqnلست بحاجة إلى أن تكون عالمًا صواريخًا لتفهم سبب فائدة التركيبة في النهاية. كل ما تبقى هو تحليل ملف الاستجابة الكبير من القرص المضغوط باستخدام حقل >الوصف: وهنا كانوا - 20 زوجًا من كلمات مرور تسجيل الدخول. علاوة على ذلك، فإن ما يقرب من نصفهم يتمتعون بحقوق الوصول إلى RDP. ليس رأس جسر سيئًا، لقد حان الوقت لتقسيم القوات المهاجمة.
شبكة
كانت كرات باسكرفيل التي يمكن الوصول إليها من كلاب الصيد تذكرنا بمدينة كبيرة بكل ما فيها من فوضى وعدم القدرة على التنبؤ. بفضل ملفات تعريف المستخدمين وملفات RDP، كان Tom Hunter فتى مفلسًا في هذه المدينة، لكنه تمكن حتى من رؤية الكثير من الأشياء من خلال النوافذ اللامعة لسياسة الأمان.
تم الإعلان عن أجزاء من خوادم الملفات وحسابات المحاسبة وحتى البرامج النصية المرتبطة بها. في إعدادات أحد هذه البرامج النصية، عثر توم على تجزئة MS SQL لمستخدم واحد. القليل من السحر الغاشم - وتحول تجزئة المستخدم إلى كلمة مرور نصية عادية. شكرًا لجون ذا ريبر وهاشكات.
يجب أن يكون هذا المفتاح مناسبًا لبعض الصدر. تم العثور على الصندوق، والأكثر من ذلك، أنه تم ربط عشرة "صناديق" أخرى به. وداخل الستة يكمن... حقوق المستخدم الخارق، نظام السلطة NT! تمكنا في اثنين منهم من تشغيل الإجراء المخزن xp_cmdshell وإرسال أوامر cmd إلى Windows. ماذا كان يمكنك ان تطلب اكثر؟
وحدات تحكم المجال
أعد توم هنتر الضربة الثانية لوحدات تحكم المجال. كان هناك ثلاثة منهم في شبكة "Dogs of the Baskervilles"، وفقًا لعدد الخوادم البعيدة جغرافيًا. تحتوي كل وحدة تحكم مجال على مجلد عام، مثل علبة عرض مفتوحة في متجر، بالقرب منها يتسكع نفس الصبي الفقير توم.
وهذه المرة كان الرجل محظوظًا مرة أخرى - فقد نسوا إزالة البرنامج النصي من علبة العرض، حيث كانت كلمة مرور مسؤول الخادم المحلي مشفرة بشكل ثابت. لذلك كان المسار إلى وحدة تحكم المجال مفتوحًا. ادخل يا توم!
هنا تم سحب القبعة السحرية ، الذي استفاد من العديد من مسؤولي المجال. تمكن توم هنتر من الوصول إلى جميع الأجهزة الموجودة على الشبكة المحلية، وأخافت الضحك الشيطاني القطة من الكرسي المجاور. وكان هذا الطريق أقصر من المتوقع.
EternalBlue
لا تزال ذكرى WannaCry وPetya حية في أذهان المخترقين، ولكن يبدو أن بعض المسؤولين قد نسوا برامج الفدية في تدفق الأخبار المسائية الأخرى. اكتشف توم ثلاث نقاط بها ثغرة أمنية في بروتوكول SMB - CVE-2017-0144 أو EternalBlue. وهذه هي نفس الثغرة الأمنية التي تم استخدامها لتوزيع برنامجي الفدية WannaCry وPetya، وهي ثغرة تسمح بتنفيذ تعليمات برمجية عشوائية على المضيف. في إحدى العقد الضعيفة، كانت هناك جلسة لإدارة المجال - "استغلها واحصل عليها". ماذا يمكنك أن تفعل، الوقت لم يعلم الجميع.
"كلب باسترفيل"
يحب كلاسيكيات أمن المعلومات تكرار أن أضعف نقطة في أي نظام هي الشخص. هل لاحظت أن العنوان أعلاه لا يتطابق مع اسم المتجر؟ ربما ليس الجميع يقظين للغاية.
في أفضل تقاليد التصيد الاحتيالي، سجل توم هنتر نطاقًا يختلف بحرف واحد عن نطاق "Hounds of the Baskervilles". يقلد العنوان البريدي الموجود في هذا المجال عنوان خدمة أمن المعلومات الخاصة بالمتجر. على مدار 4 أيام من الساعة 16:00 إلى الساعة 17:00، تم إرسال الرسالة التالية بشكل موحد إلى 360 عنوانًا من عنوان مزيف:
ربما كان كسلهم فقط هو الذي أنقذ الموظفين من التسرب الجماعي لكلمات المرور. من بين 360 رسالة، تم فتح 61 رسالة فقط - خدمة الأمن لا تحظى بشعبية كبيرة. ولكن بعد ذلك أصبح الأمر أسهل.
صفحة التصيد
نقر 46 شخصًا على الرابط، ولم ينظر نصفهم تقريبًا - 21 موظفًا - إلى شريط العناوين وأدخلوا معلومات تسجيل الدخول وكلمات المرور الخاصة بهم بهدوء. صيد جيد، توم.
شبكة Wi-Fi
الآن ليست هناك حاجة للاعتماد على مساعدة القطة. ألقى توم هانتر عدة قطع من الحديد في سيارته السيدان القديمة وذهب إلى مكتب كلب الصيد في باسكرفيل. لم يتم الاتفاق على زيارته: كان توم سيختبر شبكة Wi-Fi الخاصة بالعميل. يوجد في ساحة انتظار السيارات بمركز الأعمال العديد من المساحات المجانية التي تم تضمينها بشكل ملائم في محيط الشبكة المستهدفة. على ما يبدو، لم يفكروا كثيرًا في حدوده - كما لو كان المسؤولون يقومون بدس نقاط إضافية بشكل عشوائي ردًا على أي شكوى بشأن ضعف شبكة Wi-Fi.
كيف يعمل أمان WPA/WPA2 PSK؟ يتم توفير التشفير بين نقطة الوصول والعملاء من خلال مفتاح ما قبل الجلسة - المفتاح العابر الزوجي (PTK). يستخدم PTK المفتاح المشترك مسبقًا وخمس معلمات أخرى - SSID، وإعلان المصادقة (ANounce)، وإعلان الملتمس (SNounce)، ونقطة الوصول، وعناوين MAC الخاصة بالعميل. اعترض توم جميع المعلمات الخمس، ولم يعد الآن سوى المفتاح المشترك مسبقًا مفقودًا.
قامت الأداة المساعدة Hashcat بتنزيل هذا الرابط المفقود في حوالي 50 دقيقة - وانتهى الأمر ببطلنا في شبكة الضيوف. من خلاله يمكنك بالفعل رؤية العامل - ومن الغريب أن توم تمكن من إدارة كلمة المرور في حوالي تسع دقائق. وكل هذا دون مغادرة موقف السيارات، وبدون أي VPN. فتحت شبكة العمل مجالًا للأنشطة الوحشية لبطلنا، لكنه... لم يقم بإضافة مكافآت إلى بطاقة المتجر مطلقًا.
توقف توم ونظر إلى ساعته وألقى بعض الأوراق النقدية على الطاولة وغادر المقهى وداعًا. ربما هو pentest مرة أخرى، أو ربما هو في فكرت في الكتابة...
المصدر: www.habr.com