Kašnjenja u potpisivanju su uobičajena za svaku veliku kompaniju. Izuzetak je bio sporazum između Toma Huntera i jedne mrežne trgovine za kućne ljubimce za temeljito pentestiranje. Morali smo provjeriti i stranicu, i internu mrežu, pa čak i radni Wi-Fi.
Nije iznenađujuće što su ruke svrbele prije nego što su sve formalnosti bile riješene. Pa, samo skenirajte stranicu za svaki slučaj, malo je vjerovatno da će tako poznata trgovina kao što je Baskerville Dog ovdje već pogriješiti. Nekoliko dana kasnije Tomu je dostavljen potpisani original ugovora - u to vrijeme, uz treću šolju kafe, Tom iz internog CMS-a sa zanimanjem je procijenio stanje skladišta...
izvor:
Ali nije bilo moguće učiniti mnogo u CMS-u - IP Toma Huntera je zabranjen od strane administratora stranice. Iako bi bilo moguće imati vremena da generišete bonuse na kartici prodavnice i nahranite svoju voljenu mačku mnogo meseci jeftino... „Ne ovaj put, Darth Sidious“, pomisli Tom sa osmehom. Ništa manje zanimljivo ne bi bilo ići iz zone web stranice na lokalnu mrežu korisnika, ali, po svemu sudeći, ovi segmenti nisu povezani kod korisnika. Ipak, to je češće slučaj u veoma velikim kompanijama.
Nakon svih formalnosti, Tom Hunter se naoružao osiguranim VPN računom i otišao na lokalnu mrežu korisnika. Nalog je bio unutar Active Directory domene, tako da je bilo moguće napraviti AD dump bez posebnih trikova - spojiti sve javno dostupne informacije o korisnicima i radnim mašinama.
Tom je pokrenuo uslužni program adfind i počeo slati LDAP upite kontroloru domene. Sa filterom klase objectCategory, specificirajući osobu kao atribut. Odgovor se vraća sa sljedećom strukturom:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZOsim toga, bilo je puno korisnih informacija, ali najzanimljivije je bilo u >opis: >opis polju. Ovo je komentar na nalogu - u suštini zgodno mjesto za čuvanje manjih bilješki. Ali administratori klijenta su smatrali da bi lozinke lako mogle ležati ovdje. Koga bi, uostalom, mogli zanimati svi ovi beznačajni kancelarijski računi? Dakle, komentari koje je Tom dobio bili su:
Создал Администратор, 2018.11.16 7po!*VqnNe morate imati sedam raspona na čelu da biste shvatili čemu je korisna kombinacija na kraju. Ostalo je raščlaniti veliku datoteku odgovora sa CD-a koristeći >opisno polje: i evo ih - 20 parova prijava-lozinka. A skoro polovina ima prava pristupa na RDP. Dobro uporište, vreme je da se razdvoje napadačke snage.
mrežno okruženje
Pristupačni baloni Baskervilskog psa ličili su na veliki grad u svom svom haosu i nepredvidivosti. Sa korisničkim i RDP profilima, Tom Hunter je bio siromašan dječak u ovom gradu, ali i on je imao mnogo toga da vidi kroz blistave prozore sigurnosne politike.
Dijelovi servera datoteka, glavni računi, pa čak i povezani skripti, svi su stavljeni na raspolaganje javnosti. U postavkama jedne od ovih skripti, Tom je pronašao MS SQL hash jednog korisnika. Malo magije grube sile - i korisnikov heš se pretvorio u lozinku za običan tekst. Hvala Johnu Trbosjeku i Hashcatu.
Ovaj ključ je trebao doći do nekog sanduka. Škrinja je pronađena, a uz nju je povezano još deset "kovčega". A unutar šest su ležala... prava superkorisnika, nt autoritet! Na dva, bilo je moguće pokrenuti pohranjenu proceduru xp_cmdshell i poslati cmd komande u Windows. Šta drugo poželjeti?
Kontrolori domena
Tom Hunter je pripremio drugi udarac za kontrolere domena. U mreži "Dogs of the Baskervilles" bilo ih je troje - u skladu sa brojem geografski udaljenih servera. Svaki kontroler domene ima javni folder, poput otvorenog prozora u radnji, u blizini kojeg se mota isti prosjak Tom.
I ovoga puta klinac je ponovo imao sreće - zaboravili su da uklone skriptu iz vitrine, gdje je šifra lokalnog administratora servera bila tvrdo kodirana. Dakle, put do kontrolera domene je bio otvoren. Hajde, Tome!
Ovdje je izvađen čarobni šešir , koji je profitirao od nekoliko administratora domena. Tom Hunter je dobio pristup svim mašinama na lokalnoj mreži, a đavolski smijeh uplašio je mačku sa susjedne stolice. Ovaj put je bio kraći od očekivanog.
EternalBlue
Sjećanje na WannaCryja i Petyu je još uvijek živo u glavama pentestera, ali čini se da su neki administratori zaboravili na ransomware u vijestima od pre neki dan. Tom je pronašao tri hosta sa ranjivosti u SMB protokolu - CVE-2017-0144 ili EternalBlue. Ovo je ista ranjivost koja je proširila WannaCry i Petya ransomware, ranjivost koja omogućava izvršavanje proizvoljnog koda na hostu. Jedan od ranjivih čvorova imao je sesiju administratora domene - “iskoristi i dobij”. Šta da se radi, vrijeme nije svakoga naučilo.
"Pas Bastervilovih"
Klasici informacione bezbednosti vole da ponavljaju da je najslabija tačka svakog sistema čovek. Primjetite da gornji naslov ne odgovara nazivu trgovine? Možda nisu svi tako pažljivi.
U najboljoj tradiciji phishing blockbustera, Tom Hunter je registrirao domenu koja se za jedno slovo razlikovala od domene Hounds of the Baskervilles. Poštanska adresa na ovoj domeni imitirala je adresu službe za sigurnost informacija trgovine. U roku od 4 dana od 16:00 do 17:00 sati, sa lažne adrese ravnomjerno je poslato sljedeće pismo na 360 adresa:
Možda ih je samo vlastita lijenost spasila od masovnog odliva lozinki zaposlenih. Od 360 pisama otvoreno je samo 61 - služba obezbeđenja nije baš popularna. Ali tada je bilo lakše.
phishing stranica
46 ljudi je kliknulo na link, a skoro polovina - 21 zaposleni - nije pogledalo adresnu traku i mirno je unelo svoje login i lozinke. Dobar ulov, Tome.
Wi-Fi mreža
Sada više nije trebalo računati na pomoć mačke. Tom Hunter je u svoju staru limuzinu ubacio par komada željeza i otišao u ured Baskervilleovih pasa. Njegova posjeta nije dogovorena: Tom je trebao testirati Wi-Fi korisnika. Na parkingu poslovnog centra bilo je nekoliko praznih prostora koji su uspješno uključeni u perimetar ciljne mreže. Očigledno, nisu mnogo razmišljali o njegovom ograničenju - kao da su administratori nasumično ubacili dodatne poene kao odgovor na bilo kakvu pritužbu na slab Wi-Fi.
Kako funkcioniše WPA/WPA2 PSK bezbednost? Šifrovanje između pristupne tačke i klijenata obezbeđuje ključ pre sesije - Pairwise Transient Key (PTK). PTK koristi Pre-Shared Key i pet drugih parametara - SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), AP i MAC adrese klijenta. Tom je presreo svih pet parametara, a sada je nedostajao samo unaprijed dijeljeni ključ.
Uslužni program Hashcat je grubo prisilio ovu kariku koja nedostaje za 50 minuta - i naš heroj je završio u mreži za goste. Iz njega se već mogao vidjeti onaj koji radi - čudno, ovdje je Tom uspio sa lozinkom za oko devet minuta. I sve to bez napuštanja parkinga, bez ikakvog VPN-a. Radna mreža je našem heroju otvorila prostor za monstruozne aktivnosti, ali on... nikada nije stavio bonuse na mapu trgovine.
Tom je zastao, pogledao na sat, bacio par novčanica na sto i, pozdravivši se, izašao iz kafića. Možda ponovo pentest, ili možda kao u odlučila da napišem...
izvor: www.habr.com