Els retards en la signatura són habituals per a qualsevol gran empresa. L'acord entre Tom Hunter i una cadena de botigues d'animals per a un pentesting exhaustiu no va ser una excepció. Vam haver de comprovar el lloc web, la xarxa interna i fins i tot el Wi-Fi funcionant.
No és d'estranyar que em piquessin les mans fins i tot abans que es resolguessin tots els tràmits. Bé, només escaneja el lloc per si de cas, és poc probable que una botiga tan coneguda com "The Hound of the Baskervilles" cometi errors aquí. Un parell de dies després, finalment, a Tom se li va lliurar el contracte original signat; en aquest moment, durant la tercera tassa de cafè, Tom del CMS intern va avaluar amb interès l'estat dels magatzems...
Font:
Però no va ser possible gestionar gaire al CMS: els administradors del lloc van prohibir la IP de Tom Hunter. Encara que seria possible tenir temps per generar bonificacions a la targeta de la botiga i alimentar el teu estimat gat a baix cost durant molts mesos... "Aquest cop no, Darth Sidious", va pensar en Tom amb un somriure. No seria menys interessant passar de l'àrea del lloc web a la xarxa local del client, però sembla que aquests segments no estan connectats per al client. Tot i així, això passa més sovint en empreses molt grans.
Després de tots els tràmits, Tom Hunter es va armar amb el compte VPN proporcionat i va anar a la xarxa local del client. El compte es trobava dins del domini de l'Active Directory, de manera que era possible bolcar l'AD sense cap truc especial: drenant tota la informació disponible públicament sobre els usuaris i les màquines en funcionament.
Tom va llançar la utilitat adfind i va començar a enviar sol·licituds LDAP al controlador de domini. Amb un filtre a la classe objectСategory, especificant la persona com a atribut. La resposta va tornar amb l'estructura següent:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZA més d'això, hi havia molta informació útil, però la més interessant era al camp >descripció: >descripció. Aquest és un comentari sobre un compte, bàsicament un lloc convenient per guardar notes menors. Però els administradors del client van decidir que les contrasenyes també podien quedar-hi en silenci. A qui, després de tot, li podria interessar tots aquests registres oficials insignificants? Així que els comentaris que va rebre Tom van ser:
Создал Администратор, 2018.11.16 7po!*VqnNo cal ser un científic de coets per entendre per què la combinació al final és útil. Només quedava analitzar el fitxer de respostes gran del CD utilitzant el camp >descripció: i aquí eren: 20 parells d'inici de sessió-contrasenya. A més, gairebé la meitat té drets d'accés RDP. No és un mal cap de pont, és hora de dividir les forces atacants.
entorn de xarxa
Les boles accessibles dels Hounds of the Baskerville recordaven una gran ciutat en tot el seu caos i impredictibilitat. Amb els perfils d'usuari i RDP, Tom Hunter era un noi trencat en aquesta ciutat, però fins i tot ell va aconseguir veure moltes coses a través de les finestres brillants de la política de seguretat.
Parts dels servidors de fitxers, els comptes de comptabilitat i fins i tot els scripts associats amb ells es van fer públics. A la configuració d'un d'aquests scripts, Tom va trobar el hash MS SQL d'un usuari. Una mica de màgia de força bruta i el hash de l'usuari es va convertir en una contrasenya de text senzill. Gràcies a John The Ripper i Hashcat.
Aquesta clau hauria d'haver encaigut en algun pit. Es va trobar el cofre i, a més, s'hi van associar deu "cofres" més. I dins dels sis... drets de superusuari, nt sistema d'autoritat! En dos d'ells vam poder executar el procediment emmagatzemat xp_cmdshell i enviar ordres cmd a Windows. Què més pots desitjar?
Controladors de domini
Tom Hunter va preparar el segon cop per als controladors de domini. N'hi havia tres a la xarxa "Gossos dels Baskerville", d'acord amb el nombre de servidors remots geogràficament. Cada controlador de domini té una carpeta pública, com una vitrina oberta en una botiga, a prop de la qual passa el temps el mateix pobre Tom.
I aquesta vegada el noi va tornar a tenir sort: es van oblidar d'eliminar l'script de la vitrina, on la contrasenya de l'administrador del servidor local estava codificada. Així que el camí al controlador de domini estava obert. Entra, Tom!
Aquí del barret màgic es va treure , que es va beneficiar de diversos administradors de dominis. Tom Hunter va tenir accés a totes les màquines de la xarxa local i el riure diabòlic va espantar el gat des de la cadira següent. Aquesta ruta era més curta del que s'esperava.
Blau etern
El record de WannaCry i Petya encara és viu a la ment dels pentesters, però sembla que alguns administradors s'han oblidat del ransomware en el flux d'altres notícies del vespre. Tom va descobrir tres nodes amb una vulnerabilitat al protocol SMB: CVE-2017-0144 o EternalBlue. Aquesta és la mateixa vulnerabilitat que es va utilitzar per distribuir el ransomware WannaCry i Petya, una vulnerabilitat que permet executar codi arbitrari en un host. En un dels nodes vulnerables hi havia una sessió d'administració del domini: "explota i aconsegueix-ho". Què pots fer, el temps no ho ha ensenyat a tothom.
"El gos de Basterville"
Als clàssics de la seguretat de la informació els agrada repetir que el punt més feble de qualsevol sistema és la persona. Observeu que el títol anterior no coincideix amb el nom de la botiga? Potser no tothom està tan atent.
En les millors tradicions dels èxits de phishing, Tom Hunter va registrar un domini que es diferencia per una lletra del domini "Hounds of the Baskervilles". L'adreça postal d'aquest domini imitava l'adreça del servei de seguretat de la informació de la botiga. Durant 4 dies de 16:00 a 17:00, la carta següent es va enviar uniformement a 360 adreces des d'una adreça falsa:
Potser, només la seva pròpia mandra va salvar els empleats de la filtració massiva de contrasenyes. De les 360 cartes, només se'n van obrir 61: el servei de seguretat no és molt popular. Però després va ser més fàcil.
Pàgina de phishing
46 persones van fer clic a l'enllaç i gairebé la meitat -21 empleats- no van mirar la barra d'adreces i van introduir amb calma els seus inicis de sessió i contrasenyes. Bona captura, Tom.
Xarxa Wi-Fi
Ara no calia comptar amb l'ajuda del gat. Tom Hunter va llançar diverses peces de ferro al seu vell sedan i va anar a l'oficina del Gos dels Baskerville. No es va acordar la seva visita: Tom anava a provar la Wi-Fi del client. A l'aparcament del centre de negocis hi havia diversos espais lliures que estaven convenientment inclosos en el perímetre de la xarxa objectiu. Pel que sembla, no pensaven gaire en la seva limitació, com si els administradors estiguessin aconseguint punts addicionals a l'atzar en resposta a qualsevol queixa sobre la Wi-Fi feble.
Com funciona la seguretat WPA/WPA2 PSK? El xifratge entre el punt d'accés i els clients es proporciona mitjançant una clau prèvia a la sessió: la clau transitòria per parells (PTK). PTK utilitza la clau precompartida i cinc paràmetres més: SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), punt d'accés i adreces MAC del client. Tom va interceptar els cinc paràmetres i ara només faltava la clau precompartida.
La utilitat Hashcat va descarregar aquest enllaç que faltava en uns 50 minuts i el nostre heroi va acabar a la xarxa de convidats. Des d'ell ja es podia veure la que funcionava; curiosament, aquí Tom va gestionar la contrasenya en uns nou minuts. I tot això sense sortir de l'aparcament, sense cap VPN. La xarxa de treball va obrir marge per a activitats monstruoses per al nostre heroi, però ell... mai va afegir bonificacions a la targeta de la botiga.
Tom va fer una pausa, va mirar el seu rellotge, va llançar un parell de bitllets sobre la taula i, acomiadant-se, va sortir del cafè. Potser torna a ser un pentest, o potser hi és Vaig pensar en escriure...
Font: www.habr.com