Ysgrifennwyd yr erthygl hon yn seiliedig ar brawf llwyddiannus iawn a gynhaliodd arbenigwyr Grŵp-IB ychydig flynyddoedd yn ôl: digwyddodd stori y gellid ei haddasu ar gyfer ffilm yn Bollywood. Nawr, mae'n debyg, bydd ymateb y darllenydd yn dilyn: “O, erthygl PR arall, eto mae'r rhain yn cael eu portreadu, pa mor dda ydyn nhw, peidiwch ag anghofio prynu pentest.” Wel, ar y naill law, y mae. Fodd bynnag, mae yna nifer o resymau eraill pam yr ymddangosodd yr erthygl hon. Roeddwn i eisiau dangos beth yn union y mae pentesters yn ei wneud, pa mor ddiddorol a dibwys y gall y gwaith hwn fod, pa amgylchiadau doniol a all godi mewn prosiectau, ac yn bwysicaf oll, dangos deunydd byw gydag enghreifftiau go iawn.
Er mwyn adfer cydbwysedd gwyleidd-dra yn y byd, ar ôl ychydig byddwn yn ysgrifennu am bentest nad aeth yn dda. Byddwn yn dangos sut y gall prosesau sydd wedi'u cynllunio'n dda mewn cwmni amddiffyn rhag ystod eang o ymosodiadau, hyd yn oed rhai sydd wedi'u paratoi'n dda, yn syml oherwydd bod y prosesau hyn yn bodoli ac yn gweithio mewn gwirionedd.
Ar gyfer y cwsmer yn yr erthygl hon, roedd popeth hefyd yn gyffredinol ardderchog, o leiaf yn well na 95% o'r farchnad yn Ffederasiwn Rwsia, yn ôl ein teimladau, ond roedd nifer o arlliwiau bach a ffurfiodd gadwyn hir o ddigwyddiadau, a oedd yn gyntaf. arwain at adroddiad hir ar y gwaith , ac yna i'r erthygl hon.
Felly, gadewch i ni stocio i fyny ar popcorn, a chroeso i'r stori dditectif. Gair - Pavel Suprunyuk, rheolwr technegol adran “Archwilio ac Ymgynghori” Grŵp-IB.
Rhan 1. Meddyg Pochkin
2018 Mae yna gwsmer - cwmni TG uwch-dechnoleg, sydd ei hun yn gwasanaethu llawer o gleientiaid. Eisiau cael ateb i'r cwestiwn: a yw'n bosibl, heb unrhyw wybodaeth a mynediad cychwynnol, trwy weithio dros y Rhyngrwyd, i gael hawliau gweinyddwr parth Active Directory? Nid oes gennyf ddiddordeb mewn unrhyw beirianneg gymdeithasol (), nid ydynt yn bwriadu ymyrryd â'r gwaith yn bwrpasol, ond gallant yn ddamweiniol - ail-lwytho gweinydd sy'n gweithio'n rhyfedd, er enghraifft. Nod ychwanegol yw nodi cymaint o fectorau ymosodiad eraill â phosibl yn erbyn y perimedr allanol. Mae'r cwmni'n cynnal profion o'r fath yn rheolaidd, ac erbyn hyn mae'r dyddiad cau ar gyfer prawf newydd wedi cyrraedd. Mae'r amodau bron yn nodweddiadol, yn ddigonol, yn ddealladwy. Gadewch i ni ddechrau.
Mae enw’r cwsmer – gadewch iddo fod yn “Cwmni”, gyda’r brif wefan . Wrth gwrs, gelwir y cwsmer yn wahanol, ond yn yr erthygl hon bydd popeth yn amhersonol.
Rwy'n cynnal rhagchwiliad rhwydwaith - darganfyddwch pa gyfeiriadau a pharthau sydd wedi'u cofrestru gyda'r cwsmer, lluniwch ddiagram rhwydwaith, sut mae gwasanaethau'n cael eu dosbarthu i'r cyfeiriadau hyn. Rwy'n cael y canlyniad: mwy na 4000 o gyfeiriadau IP byw. Edrychaf ar y parthau yn y rhwydweithiau hyn: yn ffodus, mae'r mwyafrif helaeth yn rhwydweithiau a fwriedir ar gyfer cleientiaid y cwsmer, ac nid oes gennym ddiddordeb ffurfiol ynddynt. Mae'r cwsmer yn meddwl yr un peth.
Erys un rhwydwaith gyda 256 o gyfeiriadau, ac erbyn hyn mae dealltwriaeth eisoes o ddosbarthiad parthau ac is-barthau yn ôl cyfeiriadau IP, mae gwybodaeth am y porthladdoedd wedi'u sganio, sy'n golygu y gallwch chi edrych ar y gwasanaethau ar gyfer rhai diddorol. Ar yr un pryd, mae pob math o sganwyr yn cael eu lansio ar y cyfeiriadau IP sydd ar gael ac ar wahân ar wefannau.
Mae yna lawer o wasanaethau. Fel arfer mae hyn yn llawenydd i'r pentester a'r disgwyliad o fuddugoliaeth gyflym, oherwydd po fwyaf o wasanaethau sydd, y mwyaf yw'r maes ar gyfer ymosodiad a'r hawsaf yw dod o hyd i arteffact. Dangosodd golwg gyflym ar y gwefannau fod y rhan fwyaf ohonynt yn rhyngwynebau gwe o gynhyrchion adnabyddus cwmnïau byd-eang mawr, sydd ym mhob ymddangosiad yn dweud wrthych nad oes croeso iddynt. Maent yn gofyn am enw defnyddiwr a chyfrinair, yn ysgwyd y maes ar gyfer mynd i mewn i'r ail ffactor, yn gofyn am dystysgrif cleient TLS, neu'n ei anfon at Microsoft ADFS. Mae rhai yn syml yn anhygyrch o'r Rhyngrwyd. I rai, mae'n amlwg bod angen i chi gael cleient â thâl arbennig am dri chyflog neu wybod yr union URL i'w nodi. Gadewch i ni hepgor wythnos arall o ddigalondid graddol yn y broses o geisio “torri trwodd” fersiynau meddalwedd ar gyfer gwendidau hysbys, chwilio am gynnwys cudd mewn llwybrau gwe a chyfrifon a ddatgelwyd gan wasanaethau trydydd parti fel LinkedIn, gan geisio dyfalu cyfrineiriau gan eu defnyddio, hefyd fel cloddio gwendidau mewn gwefannau hunan-ysgrifenedig—gyda llaw, yn ôl ystadegau, dyma fector mwyaf addawol ymosodiad allanol heddiw. Nodaf ar unwaith y gwn ffilm a daniodd wedyn.
Felly, daethom o hyd i ddau safle a oedd yn sefyll allan o blith cannoedd o wasanaethau. Roedd gan y gwefannau hyn un peth yn gyffredin: os nad ydych chi'n cymryd rhan mewn rhagchwilio rhwydwaith manwl fesul parth, ond yn edrych yn uniongyrchol am borthladdoedd agored neu'n targedu sganiwr bregusrwydd gan ddefnyddio ystod IP hysbys, yna bydd y gwefannau hyn yn dianc rhag sganio ac ni fyddant yn wir. yn weladwy heb wybod yr enw DNS. Efallai iddynt gael eu methu yn gynharach, o leiaf, ac ni ddaeth ein hoffer awtomatig o hyd i unrhyw broblemau gyda nhw, hyd yn oed pe baent yn cael eu hanfon yn uniongyrchol at yr adnodd.
Gyda llaw, am yr hyn a lansiwyd yn flaenorol sganwyr a ddarganfuwyd yn gyffredinol. Gadewch imi eich atgoffa: i rai pobl, mae “pentest” yn cyfateb i “sgan awtomataidd”. Ond dywedodd y sganwyr ar y prosiect hwn ddim. Wel, dangoswyd yr uchafswm gan wendidau Canolig (3 allan o 5 o ran difrifoldeb): ar rai gwasanaeth tystysgrif TLS gwael neu algorithmau amgryptio hen ffasiwn, ac ar y rhan fwyaf o wefannau Clickjacking. Ond ni fydd hyn yn eich arwain at eich nod. Efallai y byddai sganwyr yn fwy defnyddiol yma, ond gadewch imi eich atgoffa: mae'r cwsmer ei hun yn gallu prynu rhaglenni o'r fath a phrofi ei hun gyda nhw, ac, o ystyried y canlyniadau truenus, mae eisoes wedi gwirio.
Gadewch i ni ddychwelyd i'r safleoedd "anghyson". Mae'r cyntaf yn rhywbeth fel Wiki lleol mewn cyfeiriad ansafonol, ond yn yr erthygl hon gadewch iddo fod yn wiki.company[.]ru. Gofynnodd ar unwaith hefyd am fewngofnodi a chyfrinair, ond trwy NTLM yn y porwr. I'r defnyddiwr, mae hon yn edrych fel ffenestr asgetig yn gofyn am roi enw defnyddiwr a chyfrinair. Ac mae hyn yn arfer gwael.
Nodyn bach. Mae NTLM mewn gwefannau perimedr yn ddrwg am nifer o resymau. Y rheswm cyntaf yw bod enw parth Active Directory yn cael ei ddatgelu. Yn ein hesiampl ni, roedd hefyd yn company.ru, yn union fel yr enw DNS “allanol”. Gan wybod hyn, gallwch chi baratoi rhywbeth maleisus yn ofalus fel ei fod yn cael ei weithredu ar beiriant parth y sefydliad yn unig, ac nid mewn rhyw flwch tywod. Yn ail, mae dilysu'n mynd yn uniongyrchol trwy'r rheolwr parth trwy NTLM (syndod, dde?), gyda holl nodweddion y polisïau rhwydwaith “mewnol”, gan gynnwys rhwystro cyfrifon rhag mynd y tu hwnt i nifer yr ymgeisiau mynediad cyfrinair. Os bydd ymosodwr yn darganfod y mewngofnodi, bydd yn ceisio cyfrineiriau ar eu cyfer. Os ydych chi wedi'ch ffurfweddu i rwystro cyfrifon rhag mynd i mewn i gyfrineiriau anghywir, bydd yn gweithio a bydd y cyfrif yn cael ei rwystro. Yn drydydd, mae'n amhosibl ychwanegu ail ffactor at ddilysu o'r fath. Os oes unrhyw un o'r darllenwyr yn dal i wybod sut, rhowch wybod i mi, mae'n ddiddorol iawn. Yn bedwerydd, bregusrwydd i ymosodiadau pasio-y-hash. Dyfeisiwyd ADFS, ymhlith pethau eraill, i amddiffyn rhag hyn i gyd.
Mae un eiddo drwg i gynhyrchion Microsoft: hyd yn oed os na wnaethoch chi gyhoeddi NTLM o'r fath yn benodol, bydd yn cael ei osod yn ddiofyn yn OWA a Lync, o leiaf.
Gyda llaw, mae awdur yr erthygl hon unwaith yn ddamweiniol blocio tua 1000 o gyfrifon o weithwyr un banc mawr mewn dim ond un awr gan ddefnyddio'r un dull ac yna edrych braidd yn welw. Roedd gwasanaethau TG y banc hefyd yn welw, ond daeth popeth i ben yn dda ac yn ddigonol, cawsom hyd yn oed ganmoliaeth am fod y cyntaf i ddod o hyd i'r broblem hon ac ysgogi datrysiad cyflym a phendant.
Roedd gan yr ail wefan y cyfeiriad “yn amlwg rhyw fath o enw olaf.company.ru.” Wedi dod o hyd iddo trwy Google, rhywbeth fel hyn ar dudalen 10. Roedd y dyluniad o ddechrau'r XNUMXau canol, ac roedd person parchus yn edrych arno o'r brif dudalen, rhywbeth fel hyn:
Yma cymerais lonydd o “Heart of a Dog”, ond credwch chi fi, roedd yn amwys o debyg, roedd hyd yn oed y dyluniad lliw mewn arlliwiau tebyg. Gadewch i'r safle gael ei alw preobrazhensky.company.ru.
Roedd yn wefan bersonol... ar gyfer wrolegydd. Roeddwn i'n meddwl tybed beth oedd gwefan wrolegydd yn ei wneud ar is-barth cwmni uwch-dechnoleg. Dangosodd cloddiad cyflym i Google fod y meddyg hwn yn gyd-sylfaenydd un o endidau cyfreithiol ein cwsmeriaid a hyd yn oed wedi cyfrannu tua 1000 rubles yn y brifddinas awdurdodedig. Mae'n debyg bod y wefan wedi'i chreu flynyddoedd lawer yn ôl, a defnyddiwyd adnoddau gweinydd y cwsmer fel gwesteiwr. Mae'r wefan wedi hen golli ei pherthnasedd, ond am ryw reswm fe'i gadawyd i weithio am amser hir.
O ran gwendidau, roedd y wefan ei hun yn ddiogel. Wrth edrych ymlaen, dywedaf mai set o wybodaeth statig ydoedd - tudalennau html syml gyda darluniau wedi'u mewnosod ar ffurf arennau a phledrennau. Mae'n ddiwerth i “dorri” safle o'r fath.
Ond roedd y gweinydd gwe oddi tano yn fwy diddorol. A barnu yn ôl pennawd Gweinydd HTTP, roedd ganddo IIS 6.0, sy'n golygu ei fod wedi defnyddio Windows 2003 fel y system weithredu. Roedd y sganiwr wedi nodi'n flaenorol bod y wefan wrolegydd arbennig hon, yn wahanol i westeion rhithwir eraill ar yr un gweinydd gwe, wedi ymateb i'r gorchymyn PROPFIND, sy'n golygu ei bod yn rhedeg WebDAV. Gyda llaw, dychwelodd y sganiwr y wybodaeth hon gyda'r marc Info (yn iaith adroddiadau sganiwr, dyma'r perygl isaf) - mae pethau o'r fath fel arfer yn cael eu hanwybyddu. Ar y cyd, rhoddodd hyn effaith ddiddorol, a ddatgelwyd dim ond ar ôl cloddiad arall ar Google: bregusrwydd gorlif byffer prin sy'n gysylltiedig â set Broceriaid Cysgodol, sef CVE-2017-7269, a oedd eisoes â chamfanteisio parod. Mewn geiriau eraill, bydd trafferth os oes gennych Windows 2003 a WebDAV yn rhedeg ar IIS. Er bod rhedeg Windows 2003 wrth gynhyrchu yn 2018 yn broblem ynddo'i hun.
Daeth y camfanteisio i ben yn Metasploit a chafodd ei brofi ar unwaith gyda llwyth a anfonodd gais DNS i wasanaeth rheoledig - yn draddodiadol defnyddir Burp Collaborator i ddal ceisiadau DNS. Er mawr syndod i mi, fe weithiodd y tro cyntaf: derbyniwyd cnociad DNS. Nesaf, bu ymgais i greu backconnect trwy borthladd 80 (hynny yw, cysylltiad rhwydwaith o'r gweinydd i'r ymosodwr, gyda mynediad i cmd.exe ar y gwesteiwr dioddefwr), ond yna digwyddodd fiasco. Ni ddaeth y cysylltiad drwodd, ac ar ôl y trydydd ymgais i ddefnyddio'r safle, ynghyd â'r holl luniau diddorol, diflannodd am byth.
Fel arfer dilynir hyn gan lythyr yn arddull “cwsmer, deffro, fe wnaethon ni ollwng popeth.” Ond dywedwyd wrthym nad oes gan y wefan unrhyw beth i'w wneud â phrosesau busnes ac mae'n gweithio yno am ddim rheswm o gwbl, fel y gweinydd cyfan, ac y gallwn ddefnyddio'r adnodd hwn fel y mynnwn.
Tua diwrnod yn ddiweddarach dechreuodd y safle weithio ar ei ben ei hun yn sydyn. Ar ôl adeiladu mainc o WebDAV ar IIS 6.0, canfûm mai'r gosodiad diofyn yw ailgychwyn prosesau gweithiwr IIS bob 30 awr. Hynny yw, pan adawodd y rheolwyr y cod cragen, daeth y broses gweithiwr IIS i ben, yna fe'i hailddechreuodd ei hun cwpl o weithiau ac yna aeth i orffwys am 30 awr.
Ers i'r backconnect i tcp fethu y tro cyntaf, priodolais y broblem hon i borthladd caeedig. Hynny yw, roedd yn tybio presenoldeb rhyw fath o wal dân nad oedd yn caniatáu i gysylltiadau sy'n mynd allan basio y tu allan. Dechreuais redeg codau cregyn a oedd yn chwilio trwy lawer o borthladdoedd tcp ac udp, nid oedd unrhyw effaith. Ni weithiodd llwythi cysylltiad gwrthdroi trwy http(s) o Metasploit - meterpreter/reverse_http(s). Yn sydyn, sefydlwyd cysylltiad â'r un porthladd 80, ond fe'i gollyngwyd ar unwaith. Priodolais hyn i weithred yr IPS sy'n dal yn ddychmygol, nad oedd yn hoffi'r traffig mesurydd mesurydd. Yng ngoleuni'r ffaith nad oedd cysylltiad tcp pur â phorthladd 80 yn mynd drwodd, ond gwnaeth cysylltiad http, deuthum i'r casgliad bod dirprwy http wedi'i ffurfweddu rywsut yn y system.
Fe wnes i hyd yn oed roi cynnig ar fesurydd trwy DNS (diolch ar gyfer eich ymdrechion, wedi arbed llawer o brosiectau), gan ddwyn i gof y llwyddiant cyntaf un, ond ni weithiodd ar y stondin hyd yn oed - roedd y cod cragen yn rhy swmpus ar gyfer y bregusrwydd hwn.
Mewn gwirionedd, roedd yn edrych fel hyn: 3-4 ymgais ar ymosodiadau o fewn 5 munud, yna aros am 30 awr. Ac yn y blaen am dair wythnos yn olynol. Rwyf hyd yn oed yn gosod nodyn atgoffa er mwyn peidio â gwastraffu amser. Yn ogystal, roedd gwahaniaeth yn ymddygiad yr amgylcheddau prawf a chynhyrchu: ar gyfer y bregusrwydd hwn roedd dau gamp debyg, un o Metasploit, yr ail o'r Rhyngrwyd, wedi'i drosi o'r fersiwn Shadow Brokers. Felly, dim ond Metasploit a brofwyd mewn ymladd, a dim ond yr ail un a brofwyd ar y fainc, a oedd yn gwneud dadfygio hyd yn oed yn fwy anodd ac yn chwalu'r ymennydd.
Yn y diwedd, roedd cod cragen a lawrlwythodd ffeil exe o weinydd penodol trwy http a'i lansio ar y system darged yn effeithiol. Roedd y cod cragen yn ddigon bach i ffitio, ond o leiaf fe weithiodd. Gan nad oedd y gweinydd yn hoffi traffig TCP o gwbl a bod http(s) wedi'i archwilio am bresenoldeb mesurydd, penderfynais mai'r ffordd gyflymaf oedd lawrlwytho ffeil exe a oedd yn cynnwys DNS-meterpreter trwy'r cod cragen hwn.
Yma eto cododd problem: wrth lawrlwytho ffeil exe ac, fel y dangosodd ymdrechion, ni waeth pa un, amharwyd ar y lawrlwythiad. Unwaith eto, nid oedd rhywfaint o ddyfais diogelwch rhwng fy gweinydd a'r wrolegydd yn hoffi traffig http gydag exe y tu mewn. Ymddengys mai'r ateb “cyflym” oedd newid y cod cragen fel y byddai'n cuddio traffig http ar y hedfan, fel y byddai data deuaidd haniaethol yn cael ei drosglwyddo yn lle exe. Yn olaf, roedd yr ymosodiad yn llwyddiannus, derbyniwyd rheolaeth trwy'r sianel DNS denau:
Daeth yn amlwg ar unwaith bod gennyf yr hawliau llif gwaith IIS mwyaf sylfaenol, sy'n caniatáu imi wneud dim. Dyma sut roedd yn edrych ar y consol Metasploit:
Mae'r holl fethodolegau pentest yn awgrymu'n gryf bod angen i chi gynyddu hawliau wrth gael mynediad. Fel arfer nid wyf yn gwneud hyn yn lleol, gan fod y mynediad cyntaf un yn cael ei weld yn syml fel pwynt mynediad rhwydwaith, ac mae peryglu peiriant arall ar yr un rhwydwaith fel arfer yn haws ac yn gyflymach na chynyddu breintiau ar westeiwr presennol. Ond nid yw hyn yn wir yma, gan fod y sianel DNS yn gul iawn ac ni fydd yn caniatáu i draffig glirio.
Gan dybio nad yw'r gweinydd Windows 2003 hwn wedi'i atgyweirio ar gyfer bregusrwydd enwog MS17-010, rwy'n twnnel traffig i borthladd 445 / TCP trwy'r twnnel DNS meterpreter ar localhost (ie, mae hyn hefyd yn bosibl) a cheisiwch redeg yr exe a lawrlwythwyd yn flaenorol trwy y bregusrwydd. Mae'r ymosodiad yn gweithio, rwy'n derbyn ail gysylltiad, ond gyda hawliau SYSTEM.
Mae'n ddiddorol eu bod yn dal i geisio amddiffyn y gweinydd rhag MS17-010 - roedd ganddo wasanaethau rhwydwaith bregus wedi'u hanalluogi ar y rhyngwyneb allanol. Mae hyn yn amddiffyn rhag ymosodiadau dros y rhwydwaith, ond fe weithiodd yr ymosodiad o'r tu mewn ar localhost, gan na allwch chi ddiffodd SMB yn gyflym ar localhost.
Nesaf, datgelir manylion diddorol newydd:
- Gyda hawliau SYSTEM, gallwch chi sefydlu ôl-gysylltiad yn hawdd trwy TCP. Yn amlwg, mae analluogi TCP uniongyrchol yn broblem i'r defnyddiwr IIS cyfyngedig. Spoiler: rhywsut roedd traffig defnyddiwr IIS wedi'i lapio yn y Dirprwy ISA lleol i'r ddau gyfeiriad. Sut yn union y mae'n gweithio, nid wyf wedi atgynhyrchu.
- Rydw i mewn “DMZ” penodol (ac nid parth Active Directory yw hwn, ond GWEITHGOR) - mae'n swnio'n rhesymegol. Ond yn lle’r cyfeiriad IP preifat (“llwyd”) disgwyliedig, mae gennyf gyfeiriad IP cwbl “gwyn”, yn union yr un fath â’r un yr ymosodais arno’n gynharach. Mae hyn yn golygu bod y cwmni mor hen ym myd cyfeiriad IPv4 fel y gall fforddio cynnal parth DMZ ar gyfer 128 o gyfeiriadau “gwyn” heb NAT yn ôl y cynllun, fel y dangosir yn llawlyfrau Cisco o 2005.
Gan fod y gweinydd yn hen, mae Mimikatz yn sicr o weithio'n uniongyrchol o'r cof:
Rwy'n cael y cyfrinair gweinyddwr lleol, twnnel traffig RDP dros TCP ac yn mewngofnodi i fwrdd gwaith clyd. Gan fy mod yn gallu gwneud beth bynnag yr oeddwn ei eisiau gyda'r gweinydd, tynnais y gwrthfeirws a chanfod bod y gweinydd yn hygyrch o'r Rhyngrwyd yn unig trwy borthladdoedd TCP 80 a 443, ac nid oedd 443 yn brysur. Sefydlais weinydd OpenVPN ar 443, ychwanegu swyddogaethau NAT ar gyfer fy nhraffig VPN a chael mynediad uniongyrchol i'r rhwydwaith DMZ ar ffurf ddiderfyn trwy fy OpenVPN. Mae'n werth nodi bod ISA, gyda rhai swyddogaethau IPS nad ydynt yn anabl, wedi rhwystro fy nhraffig â sganio porthladdoedd, a bu'n rhaid ei ddisodli gan RRAS symlach a mwy cydymffurfiol. Felly mae penteers weithiau yn dal i orfod gweinyddu pob math o bethau.
Bydd darllenydd astud yn gofyn: “Beth am yr ail safle - wiki gyda dilysiad NTLM, y mae cymaint wedi'i ysgrifennu amdano?” Mwy am hyn yn nes ymlaen.
Rhan 2. Dal ddim amgryptio? Yna rydyn ni'n dod atoch chi yma eisoes
Felly, mae mynediad i segment rhwydwaith DMZ. Mae angen i chi fynd at y gweinyddwr parth. Y peth cyntaf sy'n dod i'r meddwl yw gwirio diogelwch gwasanaethau yn awtomatig o fewn y segment DMZ, yn enwedig gan fod llawer mwy ohonynt bellach ar agor ar gyfer ymchwil. Darlun nodweddiadol yn ystod prawf treiddiad: mae'r perimedr allanol wedi'i warchod yn well na gwasanaethau mewnol, ac wrth gael unrhyw fynediad y tu mewn i seilwaith mawr, mae'n llawer haws cael hawliau estynedig mewn parth yn unig oherwydd bod y parth hwn yn dechrau bod. yn hygyrch i offer, ac yn ail, Mewn seilwaith gyda sawl mil o westeion, bydd cwpl o broblemau critigol bob amser.
Rwy'n gwefru'r sganwyr trwy DMZ trwy dwnnel OpenVPN ac yn aros. Agoraf yr adroddiad - eto dim byd difrifol, mae'n debyg bod rhywun wedi mynd trwy'r un dull o'm blaen. Y cam nesaf yw archwilio sut mae gwesteiwyr o fewn rhwydwaith DMZ yn cyfathrebu. I wneud hyn, lansiwch y Wireshark arferol yn gyntaf a gwrandewch am geisiadau darlledu, ARP yn bennaf. Casglwyd pecynnau ARP drwy'r dydd. Mae'n ymddangos bod sawl porth yn cael eu defnyddio yn y gylchran hon. Bydd hyn yn ddefnyddiol yn nes ymlaen. Trwy gyfuno data ar geisiadau ac ymatebion ARP a data sganio porthladdoedd, deuthum o hyd i bwyntiau gadael traffig defnyddwyr o'r tu mewn i'r rhwydwaith lleol yn ychwanegol at y gwasanaethau hynny a oedd yn hysbys yn flaenorol, megis gwe a phost.
Gan nad oedd gennyf unrhyw fynediad i systemau eraill ar hyn o bryd ac nid oedd gennyf un cyfrif ar gyfer gwasanaethau corfforaethol, penderfynwyd pysgota o leiaf rhywfaint o gyfrif o'r traffig gan ddefnyddio ARP Spoofing.
Lansiwyd Cain&Abel ar weinydd yr wrolegydd. Gan ystyried y llif traffig a nodwyd, dewiswyd y parau mwyaf addawol ar gyfer yr ymosodiad dyn-yn-y-canol, ac yna derbyniwyd rhywfaint o draffig rhwydwaith trwy lansiad tymor byr am 5-10 munud, gydag amserydd i ailgychwyn y gweinydd. rhag ofn rhewi. Fel yn y jôc, roedd dau newyddion:
- Da: daliwyd llawer o gymwysterau a gweithiodd yr ymosodiad yn ei gyfanrwydd.
- Y drwg: roedd yr holl gymwysterau gan gleientiaid y cwsmer ei hun. Wrth ddarparu gwasanaethau cymorth, roedd arbenigwyr cwsmeriaid yn cysylltu â gwasanaethau cleientiaid nad oedd ganddynt amgryptio traffig wedi'i ffurfweddu bob amser.
O ganlyniad, cefais lawer o gymwysterau a oedd yn ddiwerth yng nghyd-destun y prosiect, ond yn bendant yn ddiddorol fel arddangosiad o berygl yr ymosodiad. Llwybryddion ffin cwmnïau mawr gyda telnet, anfonwyd porthladdoedd http dadfygio i CRM mewnol gyda'r holl ddata, mynediad uniongyrchol i RDP o Windows XP ar y rhwydwaith lleol ac obscurantism eraill. Trodd allan fel hyn .
Cefais hefyd gyfle doniol i gasglu llythyrau o draffig, rhywbeth fel hyn. Dyma enghraifft o lythyr parod a aeth oddi wrth ein cwsmer i borthladd SMTP ei gleient, eto, heb ei amgryptio. Mae Andrey penodol yn gofyn i'w gyfenw ail-anfon y ddogfennaeth, ac mae'n cael ei lanlwytho i ddisg cwmwl gyda mewngofnodi, cyfrinair a dolen mewn un llythyr ymateb:
Dyma nodyn atgoffa arall i amgryptio pob gwasanaeth. Nid yw'n hysbys pwy a phryd fydd yn darllen ac yn defnyddio'ch data yn benodol - y darparwr, gweinyddwr system cwmni arall, neu pentester o'r fath. Rwy'n dawel am y ffaith y gall llawer o bobl ryng-gipio traffig heb ei amgryptio.
Er y llwyddiant ymddangosiadol, ni ddaeth hyn â ni yn nes at y nod. Roedd yn bosibl, wrth gwrs, eistedd am amser hir a physgota gwybodaeth werthfawr allan, ond nid yw’n ffaith y byddai’n ymddangos yno, ac mae’r ymosodiad ei hun yn beryglus iawn o ran cywirdeb y rhwydwaith.
Ar ôl cloddiad arall i'r gwasanaethau, daeth syniad diddorol i'r meddwl. Mae yna gyfleustodau o'r fath o'r enw Responder (mae'n hawdd dod o hyd i enghreifftiau o ddefnydd o'r enw hwn), sydd, trwy “wenwyno” ceisiadau darlledu, yn ysgogi cysylltiadau trwy amrywiaeth o brotocolau fel SMB, HTTP, LDAP, ac ati. mewn gwahanol ffyrdd, yna'n gofyn i bawb sy'n cysylltu i ddilysu a'i sefydlu fel bod dilysu'n digwydd trwy NTLM ac mewn modd tryloyw i'r dioddefwr. Yn fwyaf aml, mae ymosodwr yn casglu ysgwyd llaw NetNTLMv2 yn y modd hwn ac oddi wrthynt, gan ddefnyddio geiriadur, yn adennill cyfrineiriau parth defnyddiwr yn gyflym. Yma roeddwn i eisiau rhywbeth tebyg, ond roedd y defnyddwyr yn eistedd “tu ôl i wal”, neu yn hytrach, cawsant eu gwahanu gan wal dân, a chael mynediad i'r WEB trwy glwstwr dirprwy Blue Coat.
Cofiwch, nodais fod enw parth Active Directory yn cyd-daro â'r parth “allanol”, hynny yw, cwmni.ru ydoedd? Felly, mae Windows, yn fwy manwl gywir Internet Explorer (ac Edge a Chrome), yn caniatáu i'r defnyddiwr ddilysu'n dryloyw yn HTTP trwy NTLM os ydynt yn ystyried bod y wefan wedi'i lleoli mewn rhai “Parth Mewnrwyd”. Un o arwyddion “Mewnrwyd” yw mynediad i gyfeiriad IP “llwyd” neu enw DNS byr, hynny yw, heb ddotiau. Gan fod ganddynt weinydd gydag enw IP “gwyn” a DNS preobrazhensky.company.ru, a bod peiriannau parth fel arfer yn derbyn yr ôl-ddodiad parth Active Directory trwy DHCP ar gyfer cofnod enw symlach, dim ond yr URL y bu'n rhaid iddynt ei ysgrifennu yn y bar cyfeiriad. , fel eu bod yn dod o hyd i'r llwybr cywir i weinydd yr wrolegydd dan fygythiad, heb anghofio mai “Mewnrwyd” yw'r enw ar hyn bellach. Hynny yw, ar yr un pryd yn rhoi ysgwyd llaw NTLM y defnyddiwr i mi heb yn wybod iddo. Y cyfan sydd ar ôl yw gorfodi porwyr cleientiaid i feddwl am yr angen brys i gysylltu â'r gweinydd hwn.
Daeth y cyfleustodau gwych Intercepter-NG i'r adwy (diolch ). Roedd yn caniatáu ichi newid traffig ar y hedfan a gweithiodd yn wych ar Windows 2003. Roedd ganddo hyd yn oed swyddogaeth ar wahân ar gyfer addasu ffeiliau JavaScript yn unig yn y llif traffig. Roedd math o Sgriptio Traws-Safle enfawr wedi'i gynllunio.
O bryd i'w gilydd roedd dirprwyon Blue Coat, yr oedd defnyddwyr yn cyrchu'r WEB byd-eang yn eu defnyddio, yn cadw cynnwys sefydlog o bryd i'w gilydd. Drwy atal traffig, roedd yn amlwg eu bod yn gweithio rownd y cloc, gan ofyn yn ddiddiwedd am statig a ddefnyddir yn aml i gyflymu arddangos cynnwys yn ystod oriau brig. Yn ogystal, roedd gan BlueCoat Asiant Defnyddiwr penodol, a oedd yn amlwg yn ei wahaniaethu oddi wrth ddefnyddiwr go iawn.
Paratowyd Javascript, a weithredwyd, gan ddefnyddio Intercepter-NG, am awr yn y nos ar bob ymateb gyda ffeiliau JS ar gyfer Blue Coat. Gwnaeth y sgript y canlynol:
- Wedi pennu'r porwr cyfredol gan yr Asiant Defnyddiwr. Os mai Internet Explorer, Edge neu Chrome ydoedd, parhaodd i weithio.
- Arhosais nes bod DOM y dudalen wedi'i ffurfio.
- Wedi mewnosod delwedd anweledig yn y DOM gyda phriodoledd src o'r ffurflen :8080/NNNNNNNN.png, lle mae NNN yn rhifau mympwyol fel nad yw BlueCoat yn ei storio.
- Gosodwch newidyn baner byd-eang i ddangos bod y pigiad wedi'i gwblhau ac nid oes angen mewnosod delweddau mwyach.
Ceisiodd y porwr lwytho'r ddelwedd hon; ar borth 8080 y gweinydd dan fygythiad, roedd twnnel TCP yn aros amdano i'm gliniadur, lle'r oedd yr un Ymatebydd yn rhedeg, gan ei gwneud yn ofynnol i'r porwr fewngofnodi trwy NTLM.
A barnu yn ôl y logiau Ymatebwr, daeth pobl i weithio yn y bore, troi eu gweithfannau ymlaen, yna yn llu ac yn ddisylw dechreuodd ymweld â gweinydd yr wrolegydd, heb anghofio “draenio” ysgwyd llaw NTLM. Roedd ysgwyd llaw yn bwrw glaw drwy'r dydd ac yn amlwg wedi cronni deunydd ar gyfer ymosodiad amlwg lwyddiannus i adennill cyfrineiriau. Dyma sut olwg oedd ar logiau’r Ymatebwyr:
Ymweliadau cyfrinachol torfol â'r gweinydd wrolegydd gan ddefnyddwyr
Mae'n debyg eich bod eisoes wedi sylwi bod y stori gyfan hon wedi'i hadeiladu ar yr egwyddor "roedd popeth yn iawn, ond yna bummer, yna cafwyd gorchfygiad, ac yna daeth popeth i lwyddiant." Felly, roedd yna bummer yma. O'r hanner cant o ysgwyd llaw unigryw, ni ddatgelwyd yr un un. Ac mae hyn yn cymryd i ystyriaeth y ffaith, hyd yn oed ar liniadur gyda phrosesydd marw, mae'r ysgwyd llaw NTLMv2 hyn yn cael ei brosesu ar gyflymder o gannoedd o filiynau o ymdrechion yr eiliad.
Roedd yn rhaid i mi arfogi fy hun gyda thechnegau treiglo cyfrinair, cerdyn fideo, geiriadur mwy trwchus ac aros. Ar ôl amser hir, datgelwyd nifer o gyfrifon gyda chyfrineiriau o'r ffurflen "Q11111111... 1111111q", sy'n awgrymu bod yr holl ddefnyddwyr unwaith yn cael eu gorfodi i ddod o hyd i gyfrinair hir iawn gyda gwahanol achosion o nodau, a oedd hefyd i fod i fod yn gymhleth. Ond ni allwch dwyllo defnyddiwr profiadol, a dyma sut y gwnaeth hi'n haws iddo'i hun gofio. Yn gyfan gwbl, cyfaddawdwyd tua 5 cyfrif, a dim ond un ohonynt oedd ag unrhyw hawliau gwerthfawr i'r gwasanaethau.
Rhan 3. Roskomnadzor yn taro'n ôl
Felly, derbyniwyd y cyfrifon parth cyntaf. Os nad ydych wedi cwympo i gysgu erbyn hyn o ddarlleniad hir, mae'n debyg y byddwch yn cofio i mi grybwyll gwasanaeth nad oedd angen ail ffactor dilysu: mae'n wiki gyda dilysiad NTLM. Wrth gwrs, y peth cyntaf i'w wneud oedd mynd i mewn yno. Daeth canlyniadau yn gyflym wrth gloddio i’r sylfaen wybodaeth fewnol:
- Mae gan y cwmni rwydwaith WiFi gyda dilysu gan ddefnyddio cyfrifon parth gyda mynediad i'r rhwydwaith lleol. Gyda'r set gyfredol o ddata, mae hwn eisoes yn fector ymosodiad gweithredol, ond mae angen i chi fynd i'r swyddfa gyda'ch traed a chael eich lleoli yn rhywle ar diriogaeth swyddfa'r cwsmer.
- Deuthum o hyd i gyfarwyddyd a oedd yn cynnwys gwasanaeth a oedd yn caniatáu... i gofrestru dyfais ddilysu “ail ffactor” yn annibynnol os yw'r defnyddiwr y tu mewn i rwydwaith lleol ac yn cofio ei fewngofnod parth a'i gyfrinair yn hyderus. Yn yr achos hwn, penderfynwyd "tu mewn" a "tu allan" gan hygyrchedd porthladd y gwasanaeth hwn i'r defnyddiwr. Nid oedd y porthladd yn hygyrch o'r Rhyngrwyd, ond roedd yn eithaf hygyrch trwy'r DMZ.
Wrth gwrs, ychwanegwyd “ail ffactor” ar unwaith at y cyfrif dan fygythiad ar ffurf cais ar fy ffôn. Roedd rhaglen a allai naill ai anfon cais gwthio i'r ffôn yn uchel gyda botymau “cymeradwyo”/“anghymeradwyo” ar gyfer y weithred, neu ddangos y cod OTP yn dawel ar y sgrin ar gyfer mynediad annibynnol pellach. Ar ben hynny, roedd y cyfarwyddiadau i fod i fod y dull cyntaf yr unig un cywir, ond nid oedd yn gweithio, yn wahanol i'r dull OTP.
Gyda’r “ail ffactor” wedi torri, llwyddais i gael mynediad at bost Outlook Web Access a mynediad o bell yn Citrix Netscaler Gateway. Roedd syndod yn y post yn Outlook:
Yn y llun prin hwn gallwch weld sut mae Roskomnadzor yn helpu penteers
Dyma’r misoedd cyntaf ar ôl blocio “cefnogwr” enwog Telegram, pan ddiflannodd rhwydweithiau cyfan gyda miloedd o gyfeiriadau o fynediad yn ddiwrthdro. Daeth yn amlwg pam na weithiodd y gwthio ar unwaith a pham na wnaeth fy “dioddefwr” seinio’r larwm oherwydd iddynt ddechrau defnyddio ei chyfrif yn ystod oriau agored.
Mae unrhyw un sy'n gyfarwydd â Citrix Netscaler yn dychmygu ei fod yn cael ei weithredu fel arfer yn y fath fodd fel mai dim ond rhyngwyneb llun y gellir ei gyfleu i'r defnyddiwr, gan geisio peidio â rhoi'r offer iddo lansio cymwysiadau trydydd parti a throsglwyddo data, gan gyfyngu ar gamau gweithredu ym mhob ffordd bosibl. trwy gregyn rheoli safonol. Dim ond 1C a gafodd fy “dioddefwr”, oherwydd ei alwedigaeth:
Ar ôl cerdded o gwmpas y rhyngwyneb 1C ychydig, canfyddais fod modiwlau prosesu allanol yno. Gellir eu llwytho o'r rhyngwyneb, a byddant yn cael eu gweithredu ar y cleient neu'r gweinydd, yn dibynnu ar yr hawliau a'r gosodiadau.
Gofynnais i'm ffrindiau rhaglennydd 1C greu prosesu a fyddai'n derbyn llinyn a'i weithredu. Mewn iaith 1C, mae dechrau proses yn edrych fel hyn (wedi'i gymryd o'r Rhyngrwyd). A gytunwch fod cystrawen yr iaith 1C yn syfrdanu pobl sy’n siarad Rwsieg gyda’i natur ddigymell?
Gweithredwyd y prosesu yn berffaith; trodd allan i fod yr hyn y mae pentesters yn ei alw'n “gragen” - lansiwyd Internet Explorer trwyddo.
Yn gynharach, darganfuwyd cyfeiriad system sy'n eich galluogi i archebu tocynnau i'r diriogaeth yn y post. Fe wnes i archebu tocyn rhag ofn y byddai'n rhaid i mi ddefnyddio fector ymosodiad WiFi.
Mae sôn ar y Rhyngrwyd bod yna arlwyo blasus am ddim o hyd yn swyddfa’r cwsmer, ond roedd yn well gen i ddatblygu’r ymosodiad o bell o hyd, mae’n dawelach.
Cafodd AppLocker ei actifadu ar weinydd y cymhwysiad sy'n rhedeg Citrix, ond cafodd ei osgoi. Cafodd yr un Meterpreter ei lwytho a'i lansio trwy DNS, gan nad oedd y fersiynau http (s) eisiau cysylltu, ac nid oeddwn yn gwybod y cyfeiriad dirprwy mewnol bryd hynny. Gyda llaw, o'r eiliad hon ymlaen, trodd y pentest allanol yn ei hanfod yn gyfan gwbl yn un mewnol.
Rhan 4. Mae hawliau gweinyddol i ddefnyddwyr yn ddrwg, iawn?
Tasg gyntaf pentester wrth ennill rheolaeth ar sesiwn defnyddiwr parth yw casglu'r holl wybodaeth am hawliau yn y parth. Mae yna gyfleustodau BloodHound sy'n caniatáu i chi lawrlwytho gwybodaeth am ddefnyddwyr, cyfrifiaduron, grwpiau diogelwch yn awtomatig trwy'r protocol LDAP gan reolwr parth, a thrwy SMB - gwybodaeth am ba ddefnyddiwr sydd wedi mewngofnodi yn ddiweddar ble a phwy yw'r gweinyddwr lleol.
Mae techneg nodweddiadol ar gyfer atafaelu hawliau gweinyddwr parth yn edrych yn symlach fel cylch o weithredoedd undonog:
- Rydym yn mynd i gyfrifiaduron parth lle mae hawliau gweinyddwr lleol, yn seiliedig ar gyfrifon parth sydd eisoes wedi'u dal.
- Rydyn ni'n lansio Mimikatz ac yn cael cyfrineiriau wedi'u storio, tocynnau Kerberos a hashes NTLM o gyfrifon parth sydd wedi mewngofnodi i'r system hon yn ddiweddar. Neu rydyn ni'n tynnu delwedd cof y broses lsass.exe ac yn gwneud yr un peth ar ein hochr ni. Mae hyn yn gweithio'n dda gyda Windows yn iau na 2012R2 / Windows 8.1 gyda gosodiadau diofyn.
- Rydym yn pennu lle mae gan y cyfrifon dan fygythiad hawliau gweinyddwr lleol. Rydym yn ailadrodd y pwynt cyntaf. Ar ryw adeg rydym yn ennill hawliau gweinyddwr ar gyfer y parth cyfan.
“Diwedd y Cylch;”, fel y byddai rhaglenwyr 1C yn ysgrifennu yma.
Felly, trodd ein defnyddiwr allan i fod yn weinyddwr lleol ar un gwesteiwr yn unig gyda Windows 7, yr oedd ei enw'n cynnwys y gair “VDI”, neu “Seilwaith Penbwrdd Rhithwir”, peiriannau rhithwir personol. Yn ôl pob tebyg, roedd dylunydd y gwasanaeth VDI yn golygu, gan mai VDI yw system weithredu bersonol y defnyddiwr, hyd yn oed os yw'r defnyddiwr yn newid yr amgylchedd meddalwedd fel y mae'n dymuno, gellir dal i "ail-lwytho'r gwesteiwr". Roeddwn i hefyd yn meddwl bod y syniad yn gyffredinol yn dda, es i at y gwesteiwr VDI personol hwn a gwneud nyth yno:
- Gosodais gleient OpenVPN yno, a wnaeth dwnnel trwy'r Rhyngrwyd i'm gweinydd. Bu’n rhaid gorfodi’r cleient i fynd trwy’r un Côt Las â dilysu parth, ond gwnaeth OpenVPN hynny, fel y dywedant, “allan o’r bocs.”
- Wedi gosod OpenSSH ar VDI. Wel, mewn gwirionedd, beth yw Windows 7 heb SSH?
Dyma sut roedd yn edrych yn fyw. Gadewch imi eich atgoffa bod yn rhaid gwneud hyn i gyd trwy Citrix ac 1C:
Un dechneg ar gyfer hyrwyddo mynediad i gyfrifiaduron cyfagos yw gwirio cyfrineiriau gweinyddwyr lleol am gyfatebiaeth. Yma roedd lwc yn aros yn syth: cysylltwyd â stwnsh NTLM y gweinyddwr lleol diofyn (a alwyd yn Weinyddwr yn sydyn) trwy ymosodiad pasio'r hash i westeion VDI cyfagos, ac roedd rhai cannoedd ohonynt. Wrth gwrs, fe wnaeth yr ymosodiad eu taro ar unwaith.
Dyma lle saethodd gweinyddwyr VDI eu hunain yn y traed ddwywaith:
- Y tro cyntaf oedd pan na ddaethpwyd â pheiriannau VDI o dan LAPS, gan gadw'r un cyfrinair gweinyddwr lleol yn y bôn o'r ddelwedd a ddefnyddiwyd yn aruthrol i VDI.
- Y gweinyddwr rhagosodedig yw'r unig gyfrif lleol sy'n agored i ymosodiadau pass-the-hash. Hyd yn oed gyda'r un cyfrinair, byddai'n bosibl osgoi cyfaddawd torfol trwy greu ail gyfrif gweinyddwr lleol gyda chyfrinair cymhleth ar hap a rhwystro'r un rhagosodedig.
Pam y gwasanaeth SSH ar y Windows hwnnw? Syml iawn: nawr mae gweinydd OpenSSH nid yn unig yn darparu cragen orchymyn rhyngweithiol cyfleus heb ymyrryd â gwaith y defnyddiwr, ond hefyd dirprwy sanau5 ar VDI. Trwy'r sanau hwn, cysylltais trwy SMB a chasglu cyfrifon wedi'u storio o'r holl gannoedd hyn o beiriannau VDI, yna edrychais am y llwybr i'r gweinyddwr parth gan eu defnyddio yn y graffiau BloodHound. Gyda channoedd o westeion ar gael imi, deuthum o hyd i'r ffordd hon yn eithaf cyflym. Mae hawliau gweinyddwr parth wedi'u sicrhau.
Dyma lun o'r Rhyngrwyd yn dangos chwiliad tebyg. Mae cysylltiadau'n dangos pwy yw lle mae'r gweinyddwr a phwy sydd wedi mewngofnodi ble.
Gyda llaw, cofiwch y cyflwr o ddechrau'r prosiect - "peidiwch â defnyddio peirianneg gymdeithasol." Felly, cynigiaf feddwl faint y byddai'r holl Bollywood hwn ag effeithiau arbennig yn cael ei dorri i ffwrdd pe bai'n dal yn bosibl defnyddio gwe-rwydo banal. Ond yn bersonol, roedd yn ddiddorol iawn i mi wneud hyn i gyd. Gobeithio eich bod wedi mwynhau darllen hwn. Wrth gwrs, nid yw pob prosiect yn edrych mor ddiddorol, ond mae'r gwaith yn ei gyfanrwydd yn heriol iawn ac nid yw'n caniatáu iddo aros yn ei unfan.
Mae'n debyg y bydd gan rywun gwestiwn: sut i amddiffyn eich hun? Mae hyd yn oed yr erthygl hon yn disgrifio llawer o dechnegau, llawer ohonynt nad yw gweinyddwyr Windows hyd yn oed yn gwybod amdanynt. Fodd bynnag, cynigiaf edrych arnynt o safbwynt egwyddorion hacni a mesurau diogelwch gwybodaeth:
- peidiwch â defnyddio meddalwedd sydd wedi dyddio (cofiwch Windows 2003 ar y dechrau?)
- peidiwch â chadw systemau diangen ymlaen (pam roedd gwefan wrolegydd?)
- gwiriwch gyfrineiriau defnyddwyr am gryfder eich hun (fel arall bydd milwyr... pentestwyr yn gwneud hyn)
- heb yr un cyfrineiriau ar gyfer gwahanol gyfrifon (cyfaddawd VDI)
- ac eraill
Wrth gwrs, mae hyn yn anodd iawn i'w weithredu, ond yn yr erthygl nesaf byddwn yn dangos yn ymarferol ei fod yn eithaf posibl.
Ffynhonnell: hab.com