Забавянето на подписването е обичайно за всяка голяма компания. Споразумението между Том Хънтър и една верига магазини за домашни любимци за щателно тестване не беше изключение. Трябваше да проверим уебсайта, вътрешната мрежа и дори работещия Wi-Fi.
Не е изненадващо, че ме сърбяха ръцете още преди да са уредени всички формалности. Е, просто сканирайте сайта за всеки случай, малко вероятно е такъв известен магазин като „The Hound of the Baskervilles“ да направи грешки тук. Няколко дни по-късно Том най-накрая получи подписания оригинален договор - по това време, на третата чаша кафе, Том от вътрешната CMS оцени с интерес състоянието на складовете...
Източник:
Но не беше възможно да се управлява много в CMS - администраторите на сайта забраниха IP адреса на Tom Hunter. Въпреки че би било възможно да имате време да генерирате бонуси на картата на магазина и да храните любимата си котка евтино в продължение на много месеци... „Не и този път, Дарт Сидиъс“, помисли Том с усмивка. Би било не по-малко интересно да преминете от зоната на уебсайта към локалната мрежа на клиента, но очевидно тези сегменти не са свързани за клиента. Все пак това се случва по-често в много големи компании.
След всички формалности Том Хънтър се въоръжи с предоставения VPN акаунт и отиде в локалната мрежа на клиента. Акаунтът беше в домейна на Active Directory, така че беше възможно да изхвърлите AD без специални трикове - източване на цялата публично достъпна информация за потребители и работещи машини.
Том стартира помощната програма adfind и започна да изпраща LDAP заявки до домейн контролера. С филтър върху класа objectСategory, посочвайки person като атрибут. Отговорът се върна със следната структура:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZОсвен това имаше много полезна информация, но най-интересното беше в полето >description: >description. Това е коментар за акаунт - по същество удобно място за водене на дребни бележки. Но администраторите на клиента решиха, че паролите също могат да стоят там тихо. Кой в крайна сметка може да се интересува от всички тези незначителни официални записи? Така че коментарите, които Том получи, бяха:
Создал Администратор, 2018.11.16 7po!*VqnНе е нужно да сте ракетен учен, за да разберете защо комбинацията в края е полезна. Всичко, което остана, беше да анализирам големия файл с отговори от компактдиска, използвайки полето за описание: и ето ги - 20 двойки вход-парола. Освен това почти половината имат права за достъп до RDP. Не е лошо предмостие, време е да разделим атакуващите сили.
мрежа
Достъпните Хрътки от Баскервилските балове напомняха за голям град в целия му хаос и непредсказуемост. С потребителски и RDP профили Том Хънтър беше разорено момче в този град, но дори той успя да види много неща през лъскавите прозорци на политиката за сигурност.
Части от файлови сървъри, счетоводни акаунти и дори скриптове, свързани с тях, бяха публично достояние. В настройките на един от тези скриптове Том намери MS SQL хеша на един потребител. Малко груба магия - и хешът на потребителя се превърна в парола с обикновен текст. Благодаря на John The Ripper и Hashcat.
Този ключ трябва да пасне на някакъв сандък. Сандъкът беше открит и още повече, че с него бяха свързани още десет „сандъка“. И вътре в шестте лежаха... права на суперпотребител, nt система за пълномощия! На две от тях успяхме да стартираме съхранената процедура xp_cmdshell и да изпратим cmd команди на Windows. Какво повече бихте искали?
Домейн контролери
Том Хънтър подготви втория удар за домейн контролерите. Имаше три от тях в мрежата „Кучетата на Баскервилите“ в съответствие с броя на географски отдалечените сървъри. Всеки домейн контролер има публична папка, като отворена витрина в магазин, близо до която се мотае същото бедно момче Том.
И този път човекът отново имаше късмет - забравиха да премахнат скрипта от витрината, където беше твърдо кодирана администраторската парола на локалния сървър. Така че пътят към домейн контролера беше отворен. Влез, Том!
Тук от вълшебната шапка беше извадена , който печели от няколко администратори на домейни. Том Хънтър получи достъп до всички машини в локалната мрежа, а дяволският смях изплаши котката от съседния стол. Този маршрут беше по-кратък от очакваното.
EternalBlue
Споменът за WannaCry и Петя е все още жив в съзнанието на пентестърите, но някои администратори изглежда са забравили за ransomware в потока от други вечерни новини. Том откри три възела с уязвимост в SMB протокола - CVE-2017-0144 или EternalBlue. Това е същата уязвимост, която беше използвана за разпространение на рансъмуера WannaCry и Petya, уязвимост, която позволява произволен код да бъде изпълнен на хост. На един от уязвимите възли имаше сесия на администратор на домейн - „експлойтирай и го вземи“. Какво да правиш, времето не е научило всички.
"Кучето на Бастървил"
Класиците на информационната сигурност обичат да повтарят, че най-слабото място на всяка система е човекът. Забелязвате, че заглавието по-горе не отговаря на името на магазина? Може би не всички са толкова внимателни.
В най-добрите традиции на фишинг хитовете Том Хънтър регистрира домейн, който се различава с една буква от домейна „Баскервилските хрътки“. Пощенският адрес на този домейн имитира адреса на службата за информационна сигурност на магазина. В продължение на 4 дни от 16:00 до 17:00 часа следното писмо беше равномерно изпратено до 360 адреса от фалшив адрес:
Може би само техният собствен мързел спаси служителите от масовото изтичане на пароли. От 360 писма само 61 са отворени - услугата за сигурност не е много популярна. Но тогава беше по-лесно.
Фишинг страница
46 души са кликнали върху връзката и почти половината - 21 служители - не са погледнали адресната лента и спокойно са въвели своите потребителски имена и пароли. Добър улов, Том.
Wi-Fi мрежа
Сега нямаше нужда да разчита на помощта на котката. Том Хънтър хвърли няколко железни парчета в стария си седан и отиде в офиса на Баскервилското куче. Неговото посещение не беше договорено: Том щеше да тества Wi-Fi на клиента. На паркинга на бизнес центъра имаше няколко свободни места, които удобно бяха включени в периметъра на целевата мрежа. Очевидно не са се замисляли много за неговото ограничение - сякаш администраторите на случаен принцип поставят допълнителни точки в отговор на всяко оплакване за слаб Wi-Fi.
Как работи WPA/WPA2 PSK сигурността? Криптирането между точката за достъп и клиентите се осигурява от предсесиен ключ - Pairwise Transient Key (PTK). PTK използва Pre-Shared Key и пет други параметъра - SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), точка за достъп и MAC адреси на клиента. Том прихвана всичките пет параметъра и сега липсваше само предварително споделеният ключ.
Помощната програма Hashcat изтегли тази липсваща връзка за около 50 минути - и нашият герой се озова в мрежата за гости. От него вече можете да видите работещия - колкото и да е странно, тук Том се справи с паролата за около девет минути. И всичко това без да напускате паркинга, без VPN. Работещата мрежа отвори поле за чудовищни дейности за нашия герой, но той... никога не добави бонуси към картата на магазина.
Том спря, погледна часовника си, хвърли няколко банкноти на масата и като се сбогува, излезе от кафенето. Може би отново е пентест или може би е вътре Мислех да пиша...
Източник: www.habr.com