Зацягнуць з падпісаннем - звычайная справа для любой буйной кампаніі. Выключэннем не стала дамова паміж Томам Хантэрам і адной сеткавай зоамагазінай на грунтоўны пентыстынг. Трэба было праверыць і сайт, і ўнутраную сетку, і нават працоўны Wi-Fi.
Нядзіўна, што рукі засвярбелі яшчэ да таго, як былі ўладжаны ўсе фармальнасці. Ну проста пасканаваць сайт на ўсякі выпадак, ці наўрад такая вядомая крама, як «Сабака Баскервілевых», дапусціць промахі ўжо тут. Праз пару дзён Таму ўсё ж даставілі падпісаны арыгінал дагавора - у гэты час за трэцяй кружкай кавы Том з унутранай CMS з цікавасцю ацэньваў стан складоў ...
Крыніца:
Але асабліва пагаспадарыць у CMS не ўдалося – IP Тома Хантэра адміністратары сайта забанілі. Хоць можна было б паспець згенераваць бонусаў на карту крамы і доўгія месяцы карміць каханага ката па тандэце ... "Не ў гэты раз, Дарт Сідыус" - з усмешкай падумаў Том. Было б не менш забаўна прайсці з зоны вэб-сайта ў лакальную сетку заказчыка, але, відаць, гэтыя сегменты ў кліента не звязаныя. Усё ж такі часцей бывае ў вельмі буйных кампаніях.
Пасля ўсіх фармальнасцяў Том Хантэр узброіўся прадстаўленай VPN-уліковай і адправіўся ў лакальную сетку заказчыка. Уліковы запіс была ўсярэдзіне дамена Active Directory, так што можна было ўзяць і без адмысловых хітрыкаў зрабіць дамп AD - зліць усю агульнадаступную інфармацыю аб карыстачах і працоўных машынах.
Том запусціў утыліту adfind і пачаў адпраўляць на кантролер дамена LDAP-запыты. З фільтрам па класе objectСategory, паказаўшы person у якасці атрыбуту. Вярнуўся адказ вось з такой структурай:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZАпроч гэтага было яшчэ шмат карыснай інфармацыі, але самае цікавае ляжала ў полі >description: >description. Гэта каментар да ўліковага запісу - у прынцыпе, зручнае месца, каб захоўваць нязначныя пазнакі. Але адміністратары кліента палічылі, што і паролі могуць спакойна паляжаць. Каму, у рэшце рэшт, могуць быць цікавыя ўсе гэтыя малаважныя службовыя ўлікі? Таму каментары, якія атрымаў Том, мелі выгляд:
Создал Администратор, 2018.11.16 7po!*VqnНе трэба быць сямі пядзяў у ілбе, каб зразумець, для чаго спатрэбіцца камбінацыя ў канцы. Заставалася распарсіць вялікі файл адказу ад КД па полі >description: і вось яны - 20 пар лагін-пароль. Прычым амаль палова мае правы доступу па RDP. Нядрэнны плацдарм, час падзяліць атакавалыя сілы.
Сеткавае асяроддзе
Даступныя шары "Сабакі Баскервілевых" нагадвалі вялікі горад ва ўсім яго хаосе і непрадказальнасці. З профілямі user і RDP Том Хантэр быў у гэтым горадзе жабраком хлопчыкам, але нават ён паспеў шмат чаго разгледзець праз зіготкія вітрыны палітыкі бяспекі.
Часткі файл-сервераў, бухгалтарскія рахункі і нават звязаныя з імі скрыпты - усё гэта было выкладзена ў агульны доступ. У наладах аднаго з такіх скрыптоў Том знайшоў MS SQL-хэш аднаго карыстача. Трохі магіі брутфорса - і хэш карыстальніка ператварыўся ў plain text пароль. Дзякуй John The Ripper і Hashcat.
Да якога-небудзь куфра гэты ключ павінен быў падысці. Куфар быў знойдзены, і больш за тое - з ім было звязана яшчэ дзесяць «куфраў». І ўсярэдзіне шасці ляжалі… правы суперкарыстальніка, nt authorityсістэма! На двух атрымалася запусціць захоўваемую працэдуру xp_cmdshell і адправіць cmd-каманды ў Windows. Што яшчэ пажадаць?
Дамен-кантролеры
Другі ўдар Том Хантэр прыгатаваў для дамен-кантролераў. У сетцы «Сабакі Баскервілевых» іх было тры – у адпаведнасці з колькасцю тэрытарыяльна выдаленых сервераў. У кожнага дамен-кантролера ёсць агульнадаступная тэчка, нібы адчыненая вітрына ў краме, поруч якой ошивается усё той жа жабрак хлопчык Том.
І на гэты раз хлопцу зноў пашанцавала - з вітрыны забыліся прыбраць скрыпт, дзе быў захардкаваны пароль лакальнага сервернага адміна. Так што шлях да дамен-кантролеру быў адчынены. Заходзь, Том!
Тут з чароўнага капелюша быў выняты , які пажывіўся некалькімі дамен-адміністратарамі Том Хантэр атрымаў доступ да ўсіх машын у лакальнай сетцы, і д'ябальскі рогат спудзіў ката з суседняга крэсла. Гэты шлях быў карацейшы, чым чакалася.
EternalBlue
Памяць аб WannaCry і Petya яшчэ жывая ў розумах пентэстэраў, але некаторыя адміны, падобна, забыліся аб шыфравальшчыках у струмені іншых вячэрніх навін. Том выявіў тры вузлы з уразлівасцю ў пратаколе SMB - CVE-2017-0144 або EternalBlue. Гэта тая самая ўразлівасць, з дапамогай якой распаўсюджваліся шыфравальшчыкі WannaCry і Petya, уразлівасць, якая дазваляе выканаць адвольны код на вузле. На адным з уразлівых вузлоў была сесія даменнага адміна - "праэксплуатуй і атрымай". Што зробіш, час навучыў не ўсіх.
«Сабака Бастэрвілёвых»
Класікі інфармацыйнай бяспекі кахаюць паўтараць, што самым слабым месцам любой сістэмы з'яўляецца чалавек. Заўважылі, што загаловак вышэй не адпавядае назве крамы? Магчыма, не ўсе так уважлівыя.
У лепшых традыцыях фішынгавых блокбастараў Том Хантэр зарэгістраваў дамен, на адну літару адрозны ад дамена «Сабакі Баскервілевых». Паштовы адрас на гэтым дамене імітаваў адрас службы інфармацыйнай бяспекі магазіна. На працягу 4 дзён з 16:00 па 17:00 раўнамерна на 360 адрасоў з фэйкавага адрасу рассылаўся вось такі ліст:
Мабыць, ад масавага зліву пароляў супрацоўнікаў выратавала толькі іх уласная лянота. З 360 лістоў адкрылі ўсяго 61 - служба бяспекі не карыстаецца вялікай папулярнасцю. Затое далей было прасцей.
Фішынгавая старонка
46 чалавек клікнулі па спасылцы і амаль палова - 21 супрацоўнік - не паглядзелі ў адрасны радок і спакойна ўвялі свае лагіны-паролі. Добры ўлоў, Том.
Wi-Fi сетку
Цяпер на дапамогу ката разлічваць не даводзілася. Том Хантэр закінуў у свой старэнькі седан некалькі жалязяк і адправіўся да офіса «Сабакі Баскервілевых». Візіт яго ўзгоднены не быў: Том збіраўся выпрабаваць Wi-Fi замоўца. На паркоўцы бізнес-цэнтра знайшлося некалькі свабодных месц, якія ўдала ўваходзілі ў перыметр мэтавай сеткі. Аб яго абмежаванні, відаць, асабліва не задумваліся - нібы адміністратары бязладна тыкалі дадатковыя кропкі ў адказ на любую скаргу аб слабым вай-фаі.
Як працуе абарона WPA/WPA2 PSK? Шыфраванне паміж кропкай доступу і кліентамі забяспечвае ключ папярэдняй сесіі – Pairwise Transient Key (PTK). PTK выкарыстоўвае Pre-Shared Key і пяць іншых параметраў – SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), MAC-адрасы кропкі доступу і кліента. Том перахапіў усе пяць параметраў, і зараз не хапала толькі Pre-Shared Key.
Утыліта Hashcat забруціла гэтае адсутнае звяно хвілін за 50 — і наш герой апынуўся ў гасцявой сетцы. З яе ўжо можна было ўбачыць рабочую - як ні дзіўна, тут Том управіўся з паролем хвілін за дзевяць. І ўсё гэта не сыходзячы з паркоўкі, без усялякіх VPN. Працоўная сетка адчыняла нашаму герою абшары для жахлівай дзейнасці, але ён… так і не накінуў бонусаў на карту крамы.
Том вытрымаў паўзу, паглядзеў на гадзіннік, кінуў пару банкнот на столік і, развітаўшыся, выйшаў з кафэ. Можа, зноў пентэст, а можа, што і ў прыдумаў напісаць…
Крыніца: habr.com