I ritardi in a firma sò cumuni per ogni grande cumpagnia. L'accordu trà Tom Hunter è una catena di magazzini d'animali per un pentesting cumpletu ùn era micca eccezzioni. Avemu avutu à verificà u situ web, a reta interna, è ancu u travagliu Wi-Fi.
Ùn hè micca surprisante chì e mo mani prurivanu ancu prima chì tutte e formalità sò state stabilite. Ebbè, basta à scansà u situ in casu, hè improbabile chì una tenda cusì cunnisciuta cum'è "The Hound of the Baskervilles" farà sbaglià quì. Un paru di ghjorni dopu, Tom hè statu finalmente consegnatu u cuntrattu originale firmatu - à questu tempu, annantu à a terza tazza di caffè, Tom da u CMS internu hà valutatu cun interesse a cundizione di i magazzini ...
Source:
Ma ùn era micca pussibule di gestisce assai in u CMS - l'amministratori di u situ pruibitu l'IP di Tom Hunter. Ancu s'ellu puderia avè u tempu di generà bonuses nantu à a carta di a tenda è alimentà u vostru gattu amatu à pocu pressu per parechji mesi ... "Ùn sta volta, Darth Sidious", hà pensatu Tom cun un surrisu. Ùn saria micca menu interessante per andà da l'area di u situ web à a reta lucale di u cliente, ma apparentemente questi segmenti ùn sò micca cunnessi per u cliente. Tuttavia, questu succede più spessu in cumpagnie assai grande.
Dopu à tutte e formalità, Tom Hunter si armatu cù u cuntu VPN furnitu è andò à a reta lucale di u cliente. U contu era in u duminiu di l'Active Directory, cusì era pussibule di dump l'AD senza trucchi spiciali - drenendu tutte l'infurmazioni publicamente dispunibuli nantu à l'utilizatori è e macchine di travagliu.
Tom hà lanciatu l'utilità adfind è hà cuminciatu à mandà richieste LDAP à u controller di duminiu. Cù un filtru nantu à a classa di l'ughjettu, specificendu a persona cum'è un attributu. A risposta hè tornata cù a struttura seguente:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZIn più di questu, ci era assai infurmazioni utili, ma u più interessante era in u campu >description: >description. Questu hè un cumentu nantu à un contu - in fondu un locu cunvene per guardà note minori. Ma l'amministratori di u cliente anu decisu chì e password puderanu ancu stà tranquillamente. Quale, dopu à tuttu, puderia esse interessatu in tutti questi registri ufficiali insignificanti? Allora i cumenti chì Tom hà ricevutu eranu:
Создал Администратор, 2018.11.16 7po!*VqnÙn avete bisognu di esse un scientist di cohettu per capisce perchè a cumminazione à a fine hè utile. Tuttu ciò chì restava era di analizà u grande schedariu di risposta da u CD cù u > campu di descrizzione: è quì eranu - 20 coppie login-password. Inoltre, quasi a mità anu diritti d'accessu RDP. Ùn hè micca una mala testa di ponte, hè u tempu di sparte e forze attaccanti.
ambiente di rete
L'accessibili Hounds of the Baskerville balli ricordavanu una grande cità in tuttu u so caosu è imprevisibilità. Cù profili d'utilizatori è RDP, Tom Hunter era un picciottu rottu in questa cità, ma ancu ellu hà sappiutu vede assai cose attraversu i finestri brillanti di a pulitica di sicurità.
Parte di i servitori di schedari, i cunti di cuntabilità, è ancu i scripts assuciati cù elli sò stati tutti fatti publichi. In i paràmetri di unu di sti scripts, Tom hà truvatu l'hash MS SQL di un utilizatore. Un pocu di magia di forza bruta - è l'hash di l'utilizatore hè diventatu una password di testu chjaru. Grazie à John The Ripper è Hashcat.
Questa chjave duveria esse adatta à qualchì pettu. U pettu hè statu trovu, è ancu di più, dece "pettu" sò stati assuciati cun ellu. È à l'internu di i sei laici ... diritti superuser, nt sistema d'autorità! Nant'à dui di elli, avemu pussutu eseguisce a prucedura almacenata xp_cmdshell è mandà cumandamenti cmd à Windows. Chì puderebbe vulete più ?
Controllers di duminiu
Tom Hunter hà preparatu u sicondu colpu per i cuntrolli di duminiu. Ci era trè in a reta "Cani di u Baskerville", in cunfurmità cù u numeru di servitori geograficamente remoti. Ogni controller di duminiu hà un cartulare publicu, cum'è una vitrina aperta in una tenda, vicinu à quale u stessu poviru zitellu Tom stende.
E sta volta u tippu era furtunatu di novu - anu scurdatu di caccià u script da u casu di visualizazione, induve a password di l'amministratore di u servitore locale era codificata. Allora u percorsu à u controller di duminiu era apertu. Entra, Tom!
Quì da u cappellu magicu hè statu tiratu , chì hà prufittuatu da parechji amministratori di duminiu. Tom Hunter hà acquistatu l'accessu à tutte e machini nantu à a reta lucale, è a risa diavulosa spavintò u ghjattu da a sedia vicinu. Questa strada era più corta di ciò chì s'aspittava.
Eternu Blu
A memoria di WannaCry è Petya hè sempre viva in a mente di i pentesters, ma certi amministratori parenu avè scurdatu di ransomware in u flussu di altre notizie di sera. Tom hà scupertu trè nodi cù una vulnerabilità in u protocolu SMB - CVE-2017-0144 o EternalBlue. Questa hè a stessa vulnerabilità chì hè stata utilizata per distribuisce u ransomware WannaCry è Petya, una vulnerabilità chì permette à u codice arbitrariu per esse eseguitu in un host. Nantu à unu di i nodi vulnerabili ci era una sessione di amministratore di u duminiu - "sfrutta è uttene". Chì pudete fà, u tempu ùn hà micca amparatu à tutti.
"U cane di Basterville"
I classici di a sicurità di l'infurmazioni piace à ripetiri chì u puntu più debule di qualsiasi sistema hè a persona. Avete chì u titulu di sopra ùn currisponde micca à u nome di a tenda? Forsi micca tutti sò cusì attenti.
In i migliori tradizioni di blockbusters di phishing, Tom Hunter hà registratu un duminiu chì difiere da una lettera da u duminiu "Hounds of the Baskervilles". L'indirizzu postale nantu à stu duminiu imitava l'indirizzu di u serviziu di sicurità di l'infurmazioni di a tenda. In u cursu di 4 ghjorni da 16:00 à 17:00, a seguente lettera hè stata mandata uniformemente à 360 indirizzi da un indirizzu falsu:
Forse, solu a so propria pigrizia hà salvatu l'impiegati da a fuga in massa di password. Da 360 lettere, solu 61 sò stati aperti - u serviziu di sicurità ùn hè micca assai populari. Ma dopu era più faciule.
Pagina di phishing
46 persone anu cliccatu nantu à u ligame è quasi a mità - 21 impiegati - ùn anu micca guardatu a barra di l'indirizzu è hà intrutu tranquillamente i so login è password. Bella cattura, Tom.
rete Wi-Fi
Avà ùn ci era micca bisognu di cuntà l'aiutu di u ghjattu. Tom Hunter hà lanciatu parechji pezzi di ferru in a so vechja berlina è andò à l'uffiziu di u Hound of the Baskervilles. A so visita ùn era micca accunsentutu: Tom hà da pruvà a Wi-Fi di u cliente. In u parcheghju di u centru cummerciale ci sò parechje spazii liberi chì sò stati convenientemente inclusi in u perimetru di a reta di destinazione. Apparentemente, ùn anu micca pensatu assai à a so limitazione - cum'è s'ellu l'amministratori s'eranu puntuatu in modu aleatoriu punti supplementari in risposta à qualsiasi lagnanza di Wi-Fi debule.
Cumu funziona a sicurezza WPA / WPA2 PSK? A criptografia trà u puntu d'accessu è i clienti hè furnita da una chjave di pre-sessione - Pairwise Transient Key (PTK). PTK usa a Chjave Pre-Shared è cinque altri parametri - SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), puntu d'accessu è indirizzi MAC di u cliente. Tom hà interceptatu tutti i cinque paràmetri, è avà mancava solu a Chjave Pre-Shared.
L'utilità Hashcat hà scaricatu stu ligame mancante in circa 50 minuti - è u nostru eroe hè finitu in a reta di invitati. Da quì si pudia digià vede u travagliu - curiosamente, quì Tom hà gestitu a password in circa nove minuti. È tuttu questu senza abbandunà u parking, senza alcuna VPN. A reta di travagliu hà apertu un spaziu per attività monstruose per u nostru eroe, ma ùn hà mai aghjustatu bonuses à a carta di a tenda.
Tom fece una pausa, guardò u so sguardu, scacciò un paru di banconote nantu à a tavula è, dicendu addiu, abbandunò u caffè. Forse hè un pentest di novu, o forse hè in Aghju pensatu à scrive...
Source: www.habr.com