Verzögerungen bei der Unterzeichnung kommen bei großen Unternehmen häufig vor. Die Vereinbarung zwischen Tom Hunter und einer Zoohandlungskette für gründliche Penetrationstests bildete keine Ausnahme. Wir mussten die Website, das interne Netzwerk und sogar das funktionierende WLAN überprüfen.
Es ist nicht verwunderlich, dass es mir in den Händen juckte, noch bevor alle Formalitäten erledigt waren. Nun, scannen Sie einfach die Seite für alle Fälle, es ist unwahrscheinlich, dass ein so bekannter Laden wie „The Hound of the Baskervilles“ hier Fehler macht. Ein paar Tage später wurde Tom endlich der unterschriebene Originalvertrag zugestellt – zu diesem Zeitpunkt begutachtete Tom vom internen CMS bei der dritten Tasse Kaffee interessiert den Zustand der Lagerhallen ...
Source:
Im CMS ließ sich jedoch nicht viel verwalten – die Site-Administratoren haben die IP von Tom Hunter gesperrt. Obwohl es möglich wäre, Zeit zu haben, Boni auf der Kundenkarte zu generieren und Ihre geliebte Katze viele Monate lang günstig zu füttern ... „Diesmal nicht, Darth Sidious“, dachte Tom mit einem Lächeln. Es wäre nicht weniger interessant, vom Website-Bereich in das lokale Netzwerk des Kunden zu gehen, aber offenbar sind diese Segmente für den Kunden nicht verbunden. Dennoch kommt dies in sehr großen Unternehmen häufiger vor.
Nach allen Formalitäten bewaffnete sich Tom Hunter mit dem bereitgestellten VPN-Konto und begab sich in das lokale Netzwerk des Kunden. Das Konto befand sich innerhalb der Active Directory-Domäne, sodass es möglich war, AD ohne besondere Tricks zu löschen und dabei alle öffentlich verfügbaren Informationen über Benutzer und Arbeitsmaschinen zu löschen.
Tom startete das Dienstprogramm adfind und begann, LDAP-Anfragen an den Domänencontroller zu senden. Mit einem Filter für die Klasse objectСategory, Angabe der Person als Attribut. Die Antwort kam mit folgendem Aufbau zurück:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZDarüber hinaus gab es viele nützliche Informationen, die interessanteste befand sich jedoch im Feld >Beschreibung: >Beschreibung. Dies ist ein Kommentar zu einem Konto – im Grunde ein praktischer Ort, um kleinere Notizen zu machen. Die Administratoren des Kunden entschieden jedoch, dass die Passwörter auch stillschweigend dort bleiben könnten. Wer könnte sich denn für all diese unbedeutenden offiziellen Aufzeichnungen interessieren? Die Kommentare, die Tom erhielt, waren also:
Создал Администратор, 2018.11.16 7po!*VqnMan muss kein Raketenwissenschaftler sein, um zu verstehen, warum die Kombination am Ende nützlich ist. Es blieb nur noch, die große Antwortdatei von der CD mithilfe des Felds >Beschreibung zu analysieren: und hier waren sie – 20 Login-Passwort-Paare. Darüber hinaus verfügt fast die Hälfte über RDP-Zugriffsrechte. Kein schlechter Brückenkopf, Zeit, die angreifenden Kräfte zu teilen.
Netzwerk
Die zugänglichen Hounds of the Baskerville-Bälle erinnerten an eine Großstadt in all ihrem Chaos und ihrer Unvorhersehbarkeit. Mit Benutzer- und RDP-Profilen war Tom Hunter ein pleite Junge in dieser Stadt, aber selbst er schaffte es, viele Dinge durch die glänzenden Fenster der Sicherheitspolitik zu sehen.
Teile von Dateiservern, Buchhaltungskonten und sogar damit verbundene Skripte wurden alle veröffentlicht. In den Einstellungen eines dieser Skripte fand Tom den MS SQL-Hash eines Benutzers. Ein wenig Brute-Force-Magie – und aus dem Hash des Benutzers wurde ein Klartext-Passwort. Danke an John The Ripper und Hashcat.
Dieser Schlüssel hätte in eine Truhe passen sollen. Die Truhe wurde gefunden und außerdem wurden ihr zehn weitere „Truhen“ zugeordnet. Und in den sechs lagen... Superuser-Rechte, kein Autoritätssystem! Auf zwei davon konnten wir die gespeicherte Prozedur xp_cmdshell ausführen und cmd-Befehle an Windows senden. Was will man mehr?
Domänencontroller
Tom Hunter bereitete den zweiten Schlag für Domänencontroller vor. Im Netzwerk „Dogs of the Baskervilles“ gab es drei davon, entsprechend der Anzahl der geografisch entfernten Server. Jeder Domänencontroller verfügt über einen öffentlichen Ordner, wie eine offene Vitrine in einem Geschäft, in deren Nähe sich derselbe arme Junge Tom aufhält.
Und dieses Mal hatte der Typ wieder Glück – er vergaß, das Skript aus der Vitrine zu entfernen, in der das Administratorkennwort des lokalen Servers fest codiert war. Der Pfad zum Domänencontroller war also offen. Komm rein, Tom!
Hier wurde der Zauberhut gezogen , der von mehreren Domain-Administratoren profitierte. Tom Hunter verschaffte sich Zugriff auf alle Maschinen im lokalen Netzwerk und das teuflische Gelächter erschreckte die Katze vom Stuhl nebenan. Diese Route war kürzer als erwartet.
Ewiges Blau
Die Erinnerung an WannaCry und Petya ist in den Köpfen der Pentester noch lebendig, aber einige Admins scheinen Ransomware im Strom anderer Abendnachrichten vergessen zu haben. Tom hat drei Knoten mit einer Schwachstelle im SMB-Protokoll entdeckt – CVE-2017-0144 oder EternalBlue. Hierbei handelt es sich um dieselbe Schwachstelle, die zur Verbreitung der Ransomware WannaCry und Petya genutzt wurde, eine Schwachstelle, die die Ausführung beliebigen Codes auf einem Host ermöglicht. Auf einem der anfälligen Knoten gab es eine Domänenadministratorsitzung – „Exploit and get it“. Was können Sie tun? Die Zeit hat es nicht jedem beigebracht.
„Der Hund von Basterville“
Klassiker der Informationssicherheit wiederholen gerne, dass der schwächste Punkt eines jeden Systems der Mensch ist. Ist Ihnen aufgefallen, dass die Überschrift oben nicht mit dem Namen des Geschäfts übereinstimmt? Vielleicht ist nicht jeder so aufmerksam.
In bester Tradition der Phishing-Blockbuster registrierte Tom Hunter eine Domain, die sich durch einen Buchstaben von der Domain „Hounds of the Baskervilles“ unterscheidet. Die Postanschrift auf dieser Domain imitierte die Adresse des Informationssicherheitsdienstes des Geschäfts. Im Laufe von 4 Tagen von 16:00 bis 17:00 Uhr wurde von einer gefälschten Adresse aus einheitlich der folgende Brief an 360 Adressen verschickt:
Vielleicht hat nur ihre eigene Faulheit die Mitarbeiter vor dem Massenleck von Passwörtern bewahrt. Von 360 Briefen wurden nur 61 geöffnet – der Sicherheitsdienst erfreut sich keiner großen Beliebtheit. Aber dann war es einfacher.
Phishing-Seite
46 Personen klickten auf den Link und fast die Hälfte – 21 Mitarbeiter – schaute nicht auf die Adressleiste und gab in aller Ruhe ihre Logins und Passwörter ein. Schöner Fang, Tom.
WLAN-Netzwerk
Jetzt war es nicht mehr nötig, auf die Hilfe der Katze zu zählen. Tom Hunter warf mehrere Eisenstücke in seine alte Limousine und ging zum Büro des Hundes von Baskerville. Sein Besuch war nicht vereinbart: Tom wollte das WLAN des Kunden testen. Auf dem Parkplatz des Business Centers gab es mehrere freie Plätze, die praktischerweise in den Umkreis des Zielnetzes eingebunden waren. Anscheinend dachten sie nicht viel über die Einschränkung nach – als würden die Administratoren als Reaktion auf jede Beschwerde über schwaches WLAN wahllos zusätzliche Punkte einstecken.
Wie funktioniert die WPA/WPA2 PSK-Sicherheit? Die Verschlüsselung zwischen dem Access Point und den Clients erfolgt durch einen Pre-Session-Schlüssel – den Pairwise Transient Key (PTK). PTK verwendet den Pre-Shared Key und fünf weitere Parameter – SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), Access Point und Client-MAC-Adressen. Tom hat alle fünf Parameter abgefangen und jetzt fehlte nur noch der Pre-Shared Key.
Das Hashcat-Dienstprogramm hat diesen fehlenden Link in etwa 50 Minuten heruntergeladen – und unser Held landete im Gastnetzwerk. Daraus konnte man bereits erkennen, dass es funktionierte – seltsamerweise schaffte Tom hier das Passwort in etwa neun Minuten. Und das alles, ohne den Parkplatz zu verlassen, ohne VPN. Das funktionierende Netzwerk eröffnete unserem Helden Spielraum für monströse Aktivitäten, aber er ... fügte der Kundenkarte nie Boni hinzu.
Tom hielt inne, schaute auf die Uhr, warf ein paar Geldscheine auf den Tisch und verließ zum Abschied das Café. Vielleicht ist es wieder ein Pentest, oder vielleicht ist es drin Ich dachte daran, zu schreiben...
Source: habr.com