Los retrasos en la firma son habituales en cualquier gran empresa. El acuerdo entre Tom Hunter y una cadena de tiendas de mascotas para realizar un pentesting exhaustivo no fue una excepción. Tuvimos que revisar el sitio web, la red interna e incluso el Wi-Fi en funcionamiento.
No es de extrañar que me picaran las manos incluso antes de que se resolvieran todos los trámites. Bueno, simplemente escanea el sitio por si acaso, es poco probable que una tienda tan conocida como "El sabueso de los Baskerville" cometa errores aquí. Un par de días más tarde, finalmente Tom recibió el contrato original firmado; en ese momento, mientras tomaba la tercera taza de café, Tom del CMS interno evaluó con interés el estado de los almacenes...
Fuente:
Pero no fue posible administrar mucho en el CMS: los administradores del sitio prohibieron la IP de Tom Hunter. Aunque sería posible tener tiempo para generar bonificaciones en la tarjeta de la tienda y alimentar a su querido gato a bajo precio durante muchos meses... “Esta vez no, Darth Sidious”, pensó Tom con una sonrisa. No sería menos interesante pasar del área del sitio web a la red local del cliente, pero aparentemente estos segmentos no están conectados para el cliente. Aún así, esto sucede con más frecuencia en empresas muy grandes.
Después de todos los trámites, Tom Hunter se armó con la cuenta VPN proporcionada y se dirigió a la red local del cliente. La cuenta estaba dentro del dominio de Active Directory, por lo que era posible deshacerse de AD sin ningún truco especial, drenando toda la información disponible públicamente sobre los usuarios y las máquinas en funcionamiento.
Tom inició la utilidad adfind y comenzó a enviar solicitudes LDAP al controlador de dominio. Con un filtro en la clase objectСategory, especificando persona como atributo. La respuesta llegó con la siguiente estructura:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZAdemás de esto, había mucha información útil, pero la más interesante estaba en el >descripción: >campo de descripción. Este es un comentario en una cuenta, básicamente un lugar conveniente para guardar notas menores. Pero los administradores del cliente decidieron que las contraseñas también podían quedarse ahí tranquilamente. Después de todo, ¿quién podría estar interesado en todos estos insignificantes registros oficiales? Entonces los comentarios que recibió Tom fueron:
Создал Администратор, 2018.11.16 7po!*VqnNo es necesario ser un científico espacial para comprender por qué la combinación final es útil. Todo lo que quedaba era analizar el gran archivo de respuesta del CD usando el campo >descripción: y aquí estaban: 20 pares de inicio de sesión y contraseña. Además, casi la mitad tiene derechos de acceso al RDP. No es una mala cabeza de puente, es hora de dividir las fuerzas atacantes.
red
Los accesibles bailes de los Perros de los Baskerville recordaban a una gran ciudad en todo su caos e imprevisibilidad. Con perfiles de usuario y RDP, Tom Hunter era un chico arruinado en esta ciudad, pero incluso él logró ver muchas cosas a través de las brillantes ventanas de la política de seguridad.
Partes de servidores de archivos, cuentas contables e incluso scripts asociados con ellos se hicieron públicos. En la configuración de uno de estos scripts, Tom encontró el hash de MS SQL de un usuario. Un poco de magia de fuerza bruta y el hash del usuario se convirtió en una contraseña de texto sin formato. Gracias a John El Destripador y Hashcat.
Esta llave debería haber cabido en algún cofre. Se encontró el cofre y, además, se le asociaron diez “cofres” más. Y dentro de los seis yacía... ¡derechos de superusuario, sistema de autoridad nt! En dos de ellos pudimos ejecutar el procedimiento almacenado xp_cmdshell y enviar comandos cmd a Windows. ¿Qué más podrías querer?
Controladores de dominio
Tom Hunter preparó el segundo golpe para los controladores de dominio. Había tres de ellos en la red "Perros de los Baskerville", de acuerdo con el número de servidores geográficamente remotos. Cada controlador de dominio tiene una carpeta pública, como una vitrina abierta en una tienda, cerca de la cual pasa el mismo pobre chico Tom.
Y esta vez el tipo volvió a tener suerte: se olvidaron de quitar el script de la vitrina, donde estaba codificada la contraseña del administrador del servidor local. Entonces la ruta al controlador de dominio estaba abierta. ¡Entra, Tom!
Aquí se sacó el sombrero mágico. , que se benefició de varios administradores de dominio. Tom Hunter obtuvo acceso a todas las máquinas de la red local y una risa diabólica asustó al gato de la silla de al lado. Esta ruta fue más corta de lo esperado.
EternalBlue
El recuerdo de WannaCry y Petya todavía está vivo en la mente de los pentesters, pero algunos administradores parecen haberse olvidado del ransomware en el flujo de otras noticias de la noche. Tom descubrió tres nodos con una vulnerabilidad en el protocolo SMB: CVE-2017-0144 o EternalBlue. Esta es la misma vulnerabilidad que se utilizó para distribuir los ransomware WannaCry y Petya, una vulnerabilidad que permite ejecutar código arbitrario en un host. En uno de los nodos vulnerables había una sesión de administrador de dominio: "explotar y obtenerlo". ¿Qué puedes hacer? El tiempo no les ha enseñado a todos.
"El perro de Basterville"
A los clásicos de la seguridad de la información les gusta repetir que el punto más débil de cualquier sistema es la persona. ¿Notas que el título de arriba no coincide con el nombre de la tienda? Quizás no todo el mundo sea tan atento.
Siguiendo la mejor tradición de los éxitos de phishing, Tom Hunter registró un dominio que se diferencia en una letra del dominio "Sabuesos de los Baskerville". La dirección postal de este dominio imitaba la dirección del servicio de seguridad de la información de la tienda. Durante 4 días, de 16:00 a 17:00, se envió uniformemente la siguiente carta a 360 direcciones desde una dirección falsa:
Quizás solo su propia pereza salvó a los empleados de la filtración masiva de contraseñas. De 360 cartas, solo se abrieron 61; el servicio de seguridad no es muy popular. Pero luego fue más fácil.
página de phishing
46 personas hicieron clic en el enlace y casi la mitad (21 empleados) no miraron la barra de direcciones e ingresaron tranquilamente sus nombres de usuario y contraseñas. Buen partido, Tom.
Red Wi Fi
Ahora no hacía falta contar con la ayuda del gato. Tom Hunter arrojó varios trozos de hierro en su viejo sedán y se dirigió a la oficina del Perro de los Baskerville. Su visita no fue acordada: Tom iba a probar el Wi-Fi del cliente. En el aparcamiento del centro de negocios existían varias plazas libres que quedaban convenientemente incluidas en el perímetro de la red objetivo. Aparentemente, no pensaron mucho en sus limitaciones, como si los administradores estuvieran poniendo puntos adicionales al azar en respuesta a cualquier queja sobre Wi-Fi débil.
¿Cómo funciona la seguridad WPA/WPA2 PSK? El cifrado entre el punto de acceso y los clientes se proporciona mediante una clave previa a la sesión: la clave transitoria por pares (PTK). PTK utiliza la clave precompartida y otros cinco parámetros: SSID, aviso de autenticador (ANounce), aviso de suplicante (SNounce), punto de acceso y direcciones MAC del cliente. Tom interceptó los cinco parámetros y ahora solo faltaba la clave precompartida.
La utilidad Hashcat descargó este enlace perdido en unos 50 minutos y nuestro héroe terminó en la red de invitados. Desde allí ya se podía ver la que funcionaba; curiosamente, aquí Tom logró la contraseña en unos nueve minutos. Y todo ello sin salir del parking, sin ninguna VPN. La red de trabajo abrió posibilidades para actividades monstruosas para nuestro héroe, pero él... nunca agregó bonificaciones a la tarjeta de la tienda.
Tom hizo una pausa, miró su reloj, arrojó un par de billetes sobre la mesa y, despidiéndose, salió del café. Tal vez sea un pentest nuevamente, o tal vez esté en Pensé en escribir...
Fuente: habr.com