Zpoždění podpisu je běžné u každé velké společnosti. Výjimkou nebyla ani dohoda mezi Tomem Hunterem a jedním obchodním řetězcem o důkladném testování. Museli jsme zkontrolovat web, vnitřní síť a dokonce i fungující Wi-Fi.
Není divu, že mě svrběly ruce ještě před vyřízením všech formalit. No, jen pro jistotu naskenujte web, je nepravděpodobné, že by zde tak známý obchod jako „The Hound of the Baskervilles“ udělal chyby. O pár dní později byl Tomovi konečně doručen podepsaný originál smlouvy - v tuto chvíli Tom z interního CMS nad třetím hrnkem kávy se zájmem zhodnotil stav skladů...
Zdroj:
V CMS toho ale nebylo možné moc spravovat – administrátoři webu zakázali IP Toma Huntera. I když by bylo možné mít čas generovat bonusy na kartě obchodu a krmit svou milovanou kočku levně po mnoho měsíců... "Tentokrát ne, Darthe Sidiousi," pomyslel si Tom s úsměvem. Neméně zajímavé by bylo přejít z oblasti webu do lokální sítě zákazníka, ale zřejmě tyto segmenty nejsou pro klienta propojené. Přesto se to stává častěji ve velmi velkých společnostech.
Po všech formalitách se Tom Hunter vyzbrojil poskytnutým účtem VPN a šel do místní sítě zákazníka. Účet byl v doméně Active Directory, takže bylo možné vypsat AD bez speciálních triků - vypuštění všech veřejně dostupných informací o uživatelích a pracovních strojích.
Tom spustil nástroj adfind a začal odesílat požadavky LDAP na řadič domény. S filtrem na třídu objectСategory, specifikující osobu jako atribut. Odpověď se vrátila s následující strukturou:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZKromě toho zde bylo mnoho užitečných informací, ale ty nejzajímavější byly v poli >description: >description. Toto je komentář k účtu - v podstatě vhodné místo pro uchování drobných poznámek. Administrátoři klienta se však rozhodli, že hesla tam mohou být také tiše. Koho by ostatně všechny ty bezvýznamné úřední záznamy mohly zajímat? Takže komentáře, které Tom obdržel, byly:
Создал Администратор, 2018.11.16 7po!*VqnNemusíte být raketový vědec, abyste pochopili, proč je kombinace na konci užitečná. Zbývalo jen analyzovat velký soubor odpovědí z CD pomocí pole >popis: a tady to bylo - 20 párů přihlašovací jméno-heslo. Téměř polovina má navíc přístupová práva RDP. Není to špatné předmostí, je čas rozdělit útočící síly.
síť
Přístupné plesy Hounds of the Baskerville připomínaly velkoměsto v celém jeho chaosu a nepředvídatelnosti. S uživatelskými a RDP profily byl Tom Hunter v tomto městě na mizině, ale i on dokázal vidět spoustu věcí skrz nablýskaná okna bezpečnostní politiky.
Části souborových serverů, účetní účty a dokonce i skripty s nimi spojené byly všechny zveřejněny. V nastavení jednoho z těchto skriptů Tom našel MS SQL hash jednoho uživatele. Trochu kouzla hrubé síly – a hash uživatele se změnil na heslo ve formátu prostého textu. Díky John The Ripper a Hashcat.
Tento klíč by měl pasovat na hrudník. Truhla byla nalezena a navíc s ní bylo spojeno dalších deset „truhel“. A uvnitř těch šesti leží... práva superuživatele, systém autorit! Na dvou z nich jsme byli schopni spustit uloženou proceduru xp_cmdshell a odeslat příkazy cmd do Windows. Co víc si přát?
řadiče domén
Druhou ránu pro doménové řadiče připravil Tom Hunter. Podle počtu geograficky vzdálených serverů byli v síti „Psi Baskervillští“ tři. Každý doménový řadič má veřejnou složku, jako je otevřená vitrína v obchodě, poblíž které se poflakuje ten samý chudák Tom.
A tentokrát měl ten chlap opět štěstí - zapomněli odstranit skript z vitríny, kde bylo napevno zakódováno heslo správce místního serveru. Cesta k řadiči domény byla tedy otevřená. Pojď dál, Tome!
Tady byl vytažen kouzelný klobouk , který profitoval z několika doménových administrátorů. Tom Hunter získal přístup ke všem strojům v místní síti a ďábelský smích vyděsil kočku z vedlejší židle. Tato trasa byla kratší, než se očekávalo.
Eternal Blue
Vzpomínka na WannaCry a Petyu je v myslích pentesterů stále živá, ale zdá se, že někteří admini na ransomware v proudu dalších večerních zpráv zapomněli. Tom objevil tři uzly se zranitelností v protokolu SMB – CVE-2017-0144 nebo EternalBlue. Jedná se o stejnou chybu zabezpečení, která byla použita k distribuci ransomwaru WannaCry a Petya, zranitelnosti, která umožňuje spuštění libovolného kódu na hostiteli. Na jednom ze zranitelných uzlů proběhla relace správce domény – „využít a získat“. Co se dá dělat, čas každého nenaučil.
"Bastervillův pes"
Klasikové informační bezpečnosti rádi opakují, že nejslabším místem každého systému je člověk. Všimli jste si, že výše uvedený nadpis neodpovídá názvu obchodu? Možná ne každý je tak pozorný.
Podle nejlepších tradic phishingových trháků si Tom Hunter zaregistroval doménu, která se od domény „Hounds of the Baskervilles“ liší jedním písmenem. Poštovní adresa na této doméně napodobovala adresu služby zabezpečení informací obchodu. Během 4 dnů od 16:00 do 17:00 byl z falešné adresy jednotně odeslán následující dopis na 360 adres:
Snad jen jejich vlastní lenost zachránila zaměstnance před hromadným únikem hesel. Z 360 dopisů bylo otevřeno jen 61 – bezpečnostní služba není příliš oblíbená. Ale pak už to bylo jednodušší.
Phishingová stránka
Na odkaz kliklo 46 lidí a téměř polovina – 21 zaměstnanců – se nepodívala do adresního řádku a v klidu zadala své přihlašovací údaje a hesla. Pěkný úlovek, Tome.
Síť Wi-Fi
Teď už nebylo potřeba počítat s pomocí kočky. Tom Hunter hodil několik kusů železa do svého starého sedanu a šel do kanceláře psa Baskervillského. Jeho návštěva nebyla dohodnuta: Tom se chystal otestovat zákazníkovu Wi-Fi. Na parkovišti obchodního centra bylo několik volných míst, která byla vhodně zařazena do obvodu cílové sítě. O jeho omezení zřejmě moc nepřemýšleli – jako by administrátoři náhodně strkali další body v reakci na jakoukoli stížnost na slabé Wi-Fi.
Jak funguje zabezpečení WPA/WPA2 PSK? Šifrování mezi přístupovým bodem a klienty zajišťuje klíč před relací - Pairwise Transient Key (PTK). PTK používá Pre-Shared Key a pět dalších parametrů – SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), přístupový bod a MAC adresy klienta. Tom zachytil všech pět parametrů a nyní chyběl pouze předsdílený klíč.
Nástroj Hashcat stáhl tento chybějící odkaz asi za 50 minut – a náš hrdina skončil v síti pro hosty. Z něj už bylo vidět to funkční - kupodivu tady Tom zvládl heslo asi za devět minut. A to vše bez opuštění parkoviště, bez jakékoli VPN. Pracovní síť otevřela našemu hrdinovi prostor pro monstrózní aktivity, ale on... nikdy nepřidal bonusy na kartu obchodu.
Tom se odmlčel, podíval se na hodinky, hodil na stůl pár bankovek a na rozloučenou odešel z kavárny. Možná je to opět pentest, nebo možná je to in Napadlo mě napsat...
Zdroj: www.habr.com