Forsinkelser i underskrivelsen er almindelige for enhver stor virksomhed. Aftalen mellem Tom Hunter og en dyrehandelskæde om grundig gennemgang var ingen undtagelse. Vi var nødt til at tjekke hjemmesiden, det interne netværk og endda fungerende Wi-Fi.
Det er ikke overraskende, at mine hænder kløede, selv før alle formaliteterne var løst. Nå, skan bare siden for en sikkerheds skyld, det er usandsynligt, at en så kendt butik som "The Hound of the Baskervilles" vil begå fejl her. Et par dage senere fik Tom endelig leveret den underskrevne originale kontrakt - på dette tidspunkt, over det tredje krus kaffe, vurderede Tom fra det interne CMS med interesse lagerhusenes tilstand...
Kilde:
Men det var ikke muligt at administrere meget i CMS'et - webstedets administratorer forbød Tom Hunters IP. Selvom det ville være muligt at få tid til at generere bonusser på butikskortet og fodre din elskede kat billigt i mange måneder... "Ikke denne gang, Darth Sidious," tænkte Tom med et smil. Det ville ikke være mindre interessant at gå fra webstedsområdet til kundens lokale netværk, men tilsyneladende er disse segmenter ikke forbundet for klienten. Alligevel sker det oftere i meget store virksomheder.
Efter alle formaliteterne bevæbnede Tom Hunter sig med den medfølgende VPN-konto og gik til kundens lokale netværk. Kontoen var inde i Active Directory-domænet, så det var muligt at dumpe AD uden nogen specielle tricks - dræne al offentligt tilgængelig information om brugere og arbejdende maskiner.
Tom lancerede adfind-værktøjet og begyndte at sende LDAP-anmodninger til domænecontrolleren. Med et filter på klassen objectСategory, der angiver person som en attribut. Svaret kom tilbage med følgende struktur:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZUd over dette var der en masse nyttig information, men den mest interessante var i feltet >beskrivelse: >beskrivelse. Dette er en kommentar til en konto - dybest set et praktisk sted at opbevare mindre noter. Men klientens administratorer besluttede, at adgangskoderne også kunne sidde stille og roligt. Hvem, når alt kommer til alt, kunne være interesseret i alle disse ubetydelige officielle optegnelser? Så kommentarerne Tom modtog var:
Создал Администратор, 2018.11.16 7po!*VqnDu behøver ikke at være raketforsker for at forstå, hvorfor kombinationen i slutningen er nyttig. Tilbage var blot at parse den store svarfil fra cd'en ved hjælp af >beskrivelsesfeltet: og her var de - 20 login-adgangskodepar. Desuden har næsten halvdelen RDP-adgangsrettigheder. Ikke et dårligt brohoved, tid til at dele de angribende styrker.
netværk
De tilgængelige Hounds of the Baskerville-bolde mindede om en storby i al dens kaos og uforudsigelighed. Med bruger- og RDP-profiler var Tom Hunter en knust dreng i denne by, men selv han formåede at se en masse ting gennem sikkerhedspolitikkens skinnende vinduer.
Dele af filservere, regnskabskonti og endda scripts forbundet med dem blev alle offentliggjort. I indstillingerne for et af disse scripts fandt Tom MS SQL-hashen for én bruger. En lille brute force-magi - og brugerens hash blev til et almindeligt tekstkodeord. Tak til John The Ripper og Hashcat.
Denne nøgle burde have passet til noget bryst. Kisten blev fundet, og hvad mere er, ti mere "kister" var forbundet med det. Og inde i de seks lå... superbrugerrettigheder, nt myndighedssystem! På to af dem var vi i stand til at køre den lagrede procedure xp_cmdshell og sende cmd-kommandoer til Windows. Hvad mere kan du ønske dig?
Domænecontrollere
Tom Hunter forberedte det andet slag for domænecontrollere. Der var tre af dem i "Dogs of the Baskervilles"-netværket i overensstemmelse med antallet af geografisk fjerntliggende servere. Hver domænecontroller har en offentlig mappe, som en åben montre i en butik, hvor den samme stakkels dreng Tom hænger ud.
Og denne gang var fyren heldig igen - de glemte at fjerne scriptet fra montren, hvor den lokale server-admin-adgangskode var hårdkodet. Så stien til domænecontrolleren var åben. Kom ind, Tom!
Her fra den magiske hat blev trukket , der tjente på flere domæneadministratorer. Tom Hunter fik adgang til alle maskinerne på det lokale netværk, og den djævelske latter skræmte katten fra den næste stol. Denne rute var kortere end forventet.
EternalBlue
Mindet om WannaCry og Petya er stadig levende i hovedet på pentestere, men nogle administratorer ser ud til at have glemt ransomware i strømmen af andre aftennyheder. Tom opdagede tre noder med en sårbarhed i SMB-protokollen - CVE-2017-0144 eller EternalBlue. Dette er den samme sårbarhed, som blev brugt til at distribuere WannaCry og Petya ransomware, en sårbarhed, der gør det muligt at udføre vilkårlig kode på en vært. På en af de sårbare noder var der en domæneadministratorsession - "udnyt og få det." Hvad kan man gøre, har tiden ikke lært alle.
"The Basterville's Dog"
Klassikere inden for informationssikkerhed vil gerne gentage, at det svageste punkt i ethvert system er personen. Bemærk, at overskriften ovenfor ikke stemmer overens med navnet på butikken? Måske er det ikke alle, der er så opmærksomme.
I de bedste traditioner for phishing-blockbusters registrerede Tom Hunter et domæne, der adskiller sig med et bogstav fra "Hounds of the Baskervilles"-domænet. Postadressen på dette domæne efterlignede adressen på butikkens informationssikkerhedstjeneste. I løbet af 4 dage fra kl. 16 til 00 blev følgende brev ensartet sendt til 17 adresser fra en falsk adresse:
Måske var det kun deres egen dovenskab, der reddede medarbejderne fra masselækken af adgangskoder. Ud af 360 breve blev der kun åbnet 61 - sikkerhedstjenesten er ikke særlig populær. Men så var det nemmere.
Phishing-side
46 personer klikkede på linket og næsten halvdelen - 21 ansatte - kiggede ikke i adresselinjen og indtastede roligt deres login og adgangskoder. God fangst, Tom.
Wi-Fi netværk
Nu var der ingen grund til at regne med kattens hjælp. Tom Hunter kastede flere stykker jern i sin gamle sedan og gik til kontoret for Hound of the Baskervilles. Hans besøg var ikke aftalt: Tom skulle teste kundens Wi-Fi. På parkeringspladsen til forretningscentret var der flere ledige pladser, der bekvemt var inkluderet i omkredsen af målnetværket. Tilsyneladende tænkte de ikke meget over dens begrænsning - som om administratorerne tilfældigt prikkede yderligere point som svar på enhver klage over svag Wi-Fi.
Hvordan fungerer WPA/WPA2 PSK-sikkerhed? Kryptering mellem adgangspunktet og klienterne leveres af en præ-sessionsnøgle - Pairwise Transient Key (PTK). PTK bruger Pre-Shared Key og fem andre parametre - SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), adgangspunkt og klient MAC-adresser. Tom opsnappede alle fem parametre, og nu manglede kun den foruddelte nøgle.
Hashcat-værktøjet downloadede dette manglende link på omkring 50 minutter - og vores helt endte i gæstenetværket. Fra den kunne du allerede se den fungerende - mærkeligt nok klarede Tom her adgangskoden på omkring ni minutter. Og alt dette uden at forlade parkeringspladsen, uden nogen VPN. Det arbejdende netværk åbnede muligheder for monstrøse aktiviteter for vores helt, men han... tilføjede aldrig bonusser til butikskortet.
Tom holdt en pause, kiggede på sit ur, smed et par pengesedler på bordet og forlod cafeen, da han sagde farvel. Måske er det en pentest igen, eller måske er den med Jeg tænkte på at skrive...
Kilde: www.habr.com