Mae oedi wrth arwyddo yn gyffredin i unrhyw gwmni mawr. Nid oedd y cytundeb rhwng Tom Hunter ac un siop gadwyn anifeiliaid anwes ar gyfer treiddio trylwyr yn eithriad. Roedd yn rhaid i ni wirio'r wefan, y rhwydwaith mewnol, a hyd yn oed gweithio Wi-Fi.
Nid yw'n syndod bod fy nwylo'n cosi hyd yn oed cyn i'r holl ffurfioldebau gael eu setlo. Wel, sganiwch y wefan rhag ofn, mae'n annhebygol y bydd siop mor adnabyddus â "The Hound of the Baskervilles" yn gwneud camgymeriadau yma. Ychydig ddyddiau’n ddiweddarach, cafodd Tom y contract gwreiddiol wedi’i lofnodi o’r diwedd - ar yr adeg hon, dros y trydydd mwg o goffi, asesodd Tom o’r CMS mewnol gyda diddordeb gyflwr y warysau...
Ffynhonnell:
Ond nid oedd yn bosibl rheoli llawer yn y CMS - gwaharddodd gweinyddwyr y wefan IP Tom Hunter. Er y byddai'n bosibl cael amser i gynhyrchu taliadau bonws ar y cerdyn siop a bwydo'ch cath annwyl yn rhad am fisoedd lawer... “Nid y tro hwn, Darth Sidious,” meddyliodd Tom â gwên. Ni fyddai'n llai diddorol mynd o ardal y wefan i rwydwaith lleol y cwsmer, ond mae'n debyg nad yw'r segmentau hyn wedi'u cysylltu ar gyfer y cleient. Eto i gyd, mae hyn yn digwydd yn amlach mewn cwmnïau mawr iawn.
Ar ôl yr holl ffurfioldebau, arfogodd Tom Hunter ei hun â'r cyfrif VPN a ddarparwyd ac aeth i rwydwaith lleol y cwsmer. Roedd y cyfrif y tu mewn i barth Active Directory, felly roedd yn bosibl dympio AD heb unrhyw driciau arbennig - gan ddraenio'r holl wybodaeth sydd ar gael yn gyhoeddus am ddefnyddwyr a pheiriannau gweithio.
Lansiodd Tom y cyfleustodau adfin a dechreuodd anfon ceisiadau LDAP at y rheolwr parth. Gyda hidlydd ar y dosbarth objectіtegory, yn nodi person fel priodoledd. Daeth yr ymateb yn ôl gyda’r strwythur canlynol:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZYn ogystal â hyn, roedd llawer o wybodaeth ddefnyddiol, ond roedd y mwyaf diddorol yn y maes >description:>description. Sylw ar gyfrif yw hwn - yn y bôn, lle cyfleus i gadw mân nodiadau. Ond penderfynodd gweinyddwyr y cleient y gallai'r cyfrineiriau eistedd yno'n dawel hefyd. Pwy, wedi'r cyfan, a allai fod â diddordeb yn yr holl gofnodion swyddogol di-nod hyn? Felly’r sylwadau a gafodd Tom oedd:
Создал Администратор, 2018.11.16 7po!*VqnNid oes angen i chi fod yn wyddonydd roced i ddeall pam mae'r cyfuniad ar y diwedd yn ddefnyddiol. Y cyfan oedd ar ôl oedd dosrannu'r ffeil ymateb fawr o'r CD gan ddefnyddio'r maes >description: a dyma nhw - 20 pâr mewngofnodi-cyfrinair. At hynny, mae gan bron i hanner hawliau mynediad y Cynllun Datblygu Gwledig. Ddim yn ben pont drwg, amser i rannu'r lluoedd ymosod.
amgylchedd rhwydwaith
Roedd Hounds hygyrch peli Baskerville yn atgoffa rhywun o ddinas fawr yn ei holl anhrefn ac anrhagweladwy. Gyda phroffiliau defnyddwyr a RDP, roedd Tom Hunter yn fachgen toredig yn y ddinas hon, ond hyd yn oed llwyddodd i weld llawer o bethau trwy ffenestri sgleiniog polisi diogelwch.
Cafodd rhannau o weinyddion ffeiliau, cyfrifon cyfrifyddu, a hyd yn oed sgriptiau sy'n gysylltiedig â nhw i gyd eu gwneud yn gyhoeddus. Yng ngosodiadau un o'r sgriptiau hyn, daeth Tom o hyd i stwnsh MS SQL un defnyddiwr. Ychydig o hud grym ysgarol - a throdd hash y defnyddiwr yn gyfrinair testun plaen. Diolch i John The Ripper a Hashcat.
Dylai'r allwedd hon fod wedi ffitio rhywfaint o'r frest. Daethpwyd o hyd i’r frest, a beth sy’n fwy, roedd deg “cist” arall yn gysylltiedig â hi. Ac y tu mewn i'r lleyg chwech ... hawliau superuser, nt system awdurdod! Ar ddau ohonynt roeddem yn gallu rhedeg y weithdrefn storio xp_cmdshell ac anfon gorchmynion cmd i Windows. Beth arall allech chi ei eisiau?
Rheolyddion parth
Paratôdd Tom Hunter yr ail ergyd i reolwyr parth. Roedd tri ohonyn nhw yn rhwydwaith “Cŵn y Baskervilles”, yn unol â nifer y gweinyddwyr anghysbell yn ddaearyddol. Mae gan bob rheolydd parth ffolder gyhoeddus, fel cas arddangos agored mewn siop, lle mae'r un bachgen tlawd Tom yn hongian allan gerllaw.
A'r tro hwn roedd y dyn yn lwcus eto - fe wnaethon nhw anghofio tynnu'r sgript o'r cas arddangos, lle'r oedd cod caled ar gyfrinair gweinyddol y gweinydd lleol. Felly roedd y llwybr i'r rheolwr parth ar agor. Dewch i mewn, Tom!
Yma o'r het hud ei dynnu , a elwodd o sawl gweinyddwr parth. Cafodd Tom Hunter fynediad i'r holl beiriannau ar y rhwydwaith lleol, ac roedd y chwerthin cythreulig yn dychryn y gath o'r gadair nesaf. Roedd y llwybr hwn yn fyrrach na'r disgwyl.
EternalBlue
Mae'r cof am WannaCry a Petya yn dal yn fyw ym meddyliau pentesters, ond mae'n ymddangos bod rhai gweinyddwyr wedi anghofio am nwyddau pridwerth yn llif newyddion eraill gyda'r nos. Darganfu Tom dri nod a oedd yn agored i niwed yn y protocol SMB - CVE-2017-0144 neu EternalBlue. Dyma'r un bregusrwydd a ddefnyddiwyd i ddosbarthu'r ransomware WannaCry a Petya, bregusrwydd sy'n caniatáu gweithredu cod mympwyol ar westeiwr. Ar un o'r nodau bregus roedd sesiwn weinyddol parth - “manteisio a chael.” Beth allwch chi ei wneud, nid yw amser wedi dysgu pawb.
"Ci'r Basterville"
Mae clasuron diogelwch gwybodaeth yn hoffi ailadrodd mai pwynt gwannaf unrhyw system yw'r person. Sylwch nad yw'r pennawd uchod yn cyfateb i enw'r siop? Efallai nad yw pawb mor astud.
Yn nhraddodiadau gorau gwe-rwydo gwe-rwydo, cofrestrodd Tom Hunter barth sy'n wahanol o un llythyren i'r parth “Hounds of the Baskervilles”. Roedd y cyfeiriad post ar y parth hwn yn dynwared cyfeiriad gwasanaeth diogelwch gwybodaeth y siop. Dros gyfnod o 4 diwrnod o 16:00 i 17:00, anfonwyd y llythyr canlynol yn unffurf i 360 o gyfeiriadau o gyfeiriad ffug:
Efallai mai dim ond eu diogi eu hunain a arbedodd weithwyr rhag y gollyngiad enfawr o gyfrineiriau. Allan o 360 o lythyrau, dim ond 61 gafodd eu hagor - dyw'r gwasanaeth diogelwch ddim yn boblogaidd iawn. Ond wedyn roedd yn haws.
Tudalen gwe-rwydo
Fe wnaeth 46 o bobl glicio ar y ddolen ac ni wnaeth bron i hanner - 21 o weithwyr - edrych ar y bar cyfeiriad a nodi eu mewngofnodi a'u cyfrineiriau yn dawel. Dal braf, Tom.
Rhwydwaith Wi-Fi
Nawr nid oedd angen cyfrif ar help y gath. Taflodd Tom Hunter sawl darn o haearn i'w hen sedan ac aeth i swyddfa Cŵn y Baskervilles. Ni chytunwyd ar ei ymweliad: roedd Tom yn mynd i brofi Wi-Fi y cwsmer. Ym maes parcio'r ganolfan fusnes roedd nifer o leoedd rhad ac am ddim a oedd wedi'u cynnwys yn gyfleus o fewn perimedr y rhwydwaith targed. Yn ôl pob tebyg, ni wnaethant feddwl llawer am ei gyfyngiad - fel pe bai'r gweinyddwyr yn procio pwyntiau ychwanegol ar hap mewn ymateb i unrhyw gŵyn am Wi-Fi gwan.
Sut mae diogelwch WPA/WPA2 PSK yn gweithio? Darperir amgryptio rhwng y pwynt mynediad a chleientiaid gan allwedd cyn-sesiwn - Allwedd Dros Dro Pairwise (PTK). Mae PTK yn defnyddio'r Allwedd a Rennir ymlaen llaw a phum paramedr arall - SSID, Authenticator Nounce (ANounce), Suplicant Nounce (SNounce), pwynt mynediad a chyfeiriadau MAC cleient. Rhyng-gipiodd Tom bob un o'r pum paramedr, a nawr dim ond yr Allwedd a Rennir ymlaen llaw oedd ar goll.
Dadlwythodd cyfleustodau Hashcat y ddolen goll hon mewn tua 50 munud - a daeth ein harwr i ben yn y rhwydwaith gwesteion. Oddo fe allech chi weld yr un oedd yn gweithio yn barod - yn rhyfedd ddigon, dyma Tom yn rheoli'r cyfrinair mewn tua naw munud. A hyn i gyd heb adael y maes parcio, heb unrhyw VPN. Mae'r rhwydwaith gweithio yn agor sgôp ar gyfer gweithgareddau gwrthun ar gyfer ein harwr, ond mae'n... byth ychwanegu taliadau bonws at y cerdyn siop.
Oedodd Tom, edrychodd ar ei oriawr, taflu un neu ddau o arian papur ar y bwrdd a chan ffarwelio, gadawodd y caffi. Efallai ei fod yn pentest eto, neu efallai ei fod i mewn Meddyliais i am ysgrifennu...
Ffynhonnell: hab.com