Prokrastoj en subskribo estas oftaj por iu ajn granda firmao. La interkonsento inter Tom Hunter kaj unu ĉena dorlotbestbutiko por ĝisfunda pentestado ne estis escepto. Ni devis kontroli la retejon, la internan reton, kaj eĉ funkciantan Wi-Fi.
Ne estas mirinde, ke miaj manoj jukis eĉ antaŭ ol ĉiuj formalaĵoj estis aranĝitaj. Nu, nur skanu la retejon ĉiaokaze, estas neverŝajne, ke tia konata vendejo kiel "La Ĉashundo de la Baskerviloj" faros erarojn ĉi tie. Kelkajn tagojn poste, al Tom estis finfine liverita la subskribita originala kontrakto - ĉi-momente, dum la tria kafo, Tom de la interna CMS taksis kun intereso la kondiĉon de la magazenoj...
fonto:
Sed ne eblis multe administri en la CMS - la administrantoj de la retejo malpermesis la IP de Tom Hunter. Kvankam eblus havi tempon por generi gratifikojn sur la butikkarto kaj manĝi vian amatan katon malmultekoste dum multaj monatoj... "Ne ĉi-foje, Darth Sidious," Tom pensis ridetante. Ne estus malpli interese iri de la retejo-areo al la loka reto de la kliento, sed ŝajne ĉi tiuj segmentoj ne estas konektitaj por la kliento. Tamen, ĉi tio okazas pli ofte en tre grandaj kompanioj.
Post ĉiuj formalaĵoj, Tom Hunter armis sin per la provizita VPN-konto kaj iris al la loka reto de la kliento. La konto estis ene de la domajno de Active Directory, do eblis forĵeti AD sen specialaj lertaĵoj - malplenigante ĉiujn publike disponeblajn informojn pri uzantoj kaj funkciaj maŝinoj.
Tom lanĉis la adfind ilon kaj komencis sendi LDAP-petojn al la domajna regilo. Kun filtrilo sur la objekta kategorio klaso, specifante personon kiel atributon. La respondo revenis kun la sekva strukturo:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZKrom tio estis multe da utilaj informoj, sed la plej interesa estis en la kampo >priskribo: >priskribo. Ĉi tio estas komento pri konto - esence oportuna loko por konservi etajn notojn. Sed la administrantoj de la kliento decidis, ke la pasvortoj ankaŭ povus sidi tie trankvile. Kiu, finfine, povus interesiĝi pri ĉiuj ĉi sensignifaj oficialaj registroj? Do la komentoj kiujn Tom ricevis estis:
Создал Администратор, 2018.11.16 7po!*VqnVi ne bezonas esti raketsciencisto por kompreni kial la kombinaĵo ĉe la fino estas utila. Restis nur analizi la grandan responddosieron el la KD uzante la >priskriban kampon: kaj jen ili estis - 20 ensalutu-pasvortparoj. Plie, preskaŭ duono havas RDP-alirrajtojn. Ne malbona ponto, tempo por dividi la atakajn fortojn.
reto medio
La alireblaj Hounds of the Baskerville-pilkoj rememoris pri granda urbo en sia tuta kaoso kaj neantaŭvidebleco. Kun uzant- kaj RDP-profiloj, Tom Hunter estis rompita knabo en ĉi tiu urbo, sed eĉ li sukcesis vidi multajn aferojn tra la brilaj fenestroj de sekureca politiko.
Partoj de dosierserviloj, kontadaj kontoj, kaj eĉ skriptoj asociitaj kun ili estis ĉiuj publikigitaj. En la agordoj de unu el ĉi tiuj skriptoj, Tom trovis la MS SQL-haŝiŝon de unu uzanto. Iom de krudforta magio - kaj la haŝiŝo de la uzanto fariĝis klarteksta pasvorto. Dankon al John The Ripper kaj Hashcat.
Ĉi tiu ŝlosilo devus konveni al iu brusto. La kesto estis trovita, kaj kio estas pli, dek pliaj "kestoj" estis asociitaj kun ĝi. Kaj ene de la ses kuŝis... superuzantrajtoj, nt aŭtoritata sistemo! Sur du el ili ni povis ruli la stokitan proceduron xp_cmdshell kaj sendi cmd-komandojn al Vindozo. Kion pli vi povus deziri?
Domajnregiloj
Tom Hunter preparis la duan baton por domajnaj regiloj. Estis tri el ili en la reto "Hundoj de la Baskerviloj", laŭ la nombro de geografie malproksimaj serviloj. Ĉiu domajna regilo havas publikan dosierujon, kiel malfermitan ekranujon en vendejo, proksime de kiu la sama kompatinda knabo Tom pendas.
Kaj ĉi-foje la ulo estis bonŝanca denove - ili forgesis forigi la skripton de la vitrino, kie la loka servila administra pasvorto estis malmola kodita. Do la vojo al la domajna regilo estis malfermita. Eniru, Tom!
Ĉi tie de la magia ĉapelo estis tirita , kiu profitis de pluraj domajnaj administrantoj. Tom Hunter akiris aliron al ĉiuj maŝinoj sur la loka reto, kaj la diabla ridado timigis la katon de la sekva seĝo. Ĉi tiu itinero estis pli mallonga ol atendite.
EternaBluo
La memoro pri WannaCry kaj Petya ankoraŭ vivas en la mensoj de pentesteroj, sed iuj administrantoj ŝajnas esti forgesinta pri ransomware en la fluo de aliaj vesperaj novaĵoj. Tom malkovris tri nodojn kun vundebleco en la SMB-protokolo - CVE-2017-0144 aŭ EternalBlue. Ĉi tiu estas la sama vundebleco, kiu estis uzata por distribui la WannaCry kaj Petya-ransomware, vundebleco, kiu permesas ekzekuti arbitran kodon sur gastiganto. Sur unu el la vundeblaj nodoj estis domajna administra sesio - "ekspluatu kaj ricevu ĝin." Kion vi povas fari, la tempo ne instruis ĉiujn.
"La Hundo de la Basterville"
Klasikaĵoj de informa sekureco ŝatas ripeti, ke la plej malforta punkto de iu ajn sistemo estas la persono. Rimarku, ke la supra titolo ne kongruas kun la nomo de la vendejo? Eble ne ĉiuj estas tiel atentaj.
En la plej bonaj tradicioj de phishing-sukcesoj, Tom Hunter registris domajnon, kiu diferencas per unu letero de la domajno "Hounds of the Baskervilles". La poŝta adreso sur ĉi tiu domajno imitis la adreson de la informsekureca servo de la vendejo. Dum 4 tagoj de 16:00 ĝis 17:00, la sekva letero estis unuforme sendita al 360 adresoj de falsa adreso:
Eble, nur ilia propra maldiligento savis dungitojn de la amasa liko de pasvortoj. El 360 leteroj, nur 61 estis malfermitaj - la sekureca servo ne estas tre populara. Sed tiam estis pli facile.
Phishing paĝo
46 homoj klakis sur la ligilon kaj preskaŭ duono - 21 dungitoj - ne rigardis la adresbreton kaj trankvile enigis siajn ensalutojn kaj pasvortojn. Bela kapto, Tom.
Reto WiFi
Nun ne necesis kalkuli je la helpo de la kato. Tom Hunter ĵetis plurajn ferpecojn en sian malnovan kabinaŭton kaj iris al la oficejo de la Ĉashundo de la Baskerviloj. Lia vizito ne estis interkonsentita: Tom estis provonta la Wi-Fi de la kliento. En la parkejo de la komerca centro estis pluraj liberaj spacoj, kiuj estis oportune inkluditaj en la perimetro de la cela reto. Ŝajne, ili ne multe pensis pri ĝia limigo - kvazaŭ la administrantoj hazarde pikis pliajn punktojn responde al iu plendo pri malforta Wifi.
Kiel funkcias sekureco WPA/WPA2 PSK? Ĉifrado inter la alirpunkto kaj klientoj estas disponigita per antaŭ-sesia ŝlosilo - Paroza Transient Key (PTK). PTK uzas la Antaŭdividitan Ŝlosilon kaj kvin aliajn parametrojn - SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), alirpunkton kaj klientajn MAC-adresojn. Tom kaptis ĉiujn kvin parametrojn, kaj nun mankis nur la Antaŭdividita Ŝlosilo.
La Hashcat-ilaĵo elŝutis ĉi tiun mankantan ligilon en ĉirkaŭ 50 minutoj - kaj nia heroo finiĝis en la gastreto. El ĝi vi jam povis vidi la funkciantan — sufiĉe strange, ĉi tie Tom administris la pasvorton en ĉirkaŭ naŭ minutoj. Kaj ĉio ĉi sen forlasi la parkejon, sen iu ajn VPN. La laborreto malfermis amplekson por monstraj agadoj por nia heroo, sed li... neniam aldonis gratifikojn al la butikkarto.
Tom paŭzis, rigardis sian horloĝon, ĵetis paron da monbiletoj sur la tablon kaj, adiaŭante, forlasis la kafejon. Eble ĝi denove estas pentesto, aŭ eble ĝi estas en Mi pensis skribi...
fonto: www.habr.com