Viivitused allkirjastamisel on tavalised igas suurettevõttes. Erandiks polnud Tom Hunteri ja ühe lemmikloomapoe keti kokkulepe põhjalikuks pentestimiseks. Pidime kontrollima veebisaiti, sisevõrku ja isegi töötavat WiFi-d.
Pole üllatav, et mu käed sügelesid juba enne, kui kõik formaalsused olid korda aetud. Noh, lihtsalt kontrollige seda saiti igaks juhuks, on ebatõenäoline, et selline tuntud pood nagu "The Hound of the Baskervilles" teeb siin vigu. Paar päeva hiljem toodi Tomile lõpuks kätte allkirjastatud algne leping – sel ajal, pärast kolmandat tassi kohvi, hindas Tom sisemisest CMS-ist huviga ladude seisukorda...
Allikas:
Kuid CMS-is polnud võimalik palju hallata - saidi administraatorid keelasid Tom Hunteri IP-aadressi. Kuigi oleks võimalik poekaardil boonuseid genereerida ja oma armastatud kassi mitu kuud odavalt toita... “Seekord mitte, Darth Sidious,” arvas Tom naeratades. Vähem huvitav poleks veebilehe alalt kliendi kohtvõrku minna, kuid ilmselt pole need segmendid kliendi jaoks ühendatud. Siiski juhtub seda sagedamini väga suurtes ettevõtetes.
Pärast kõiki formaalsusi relvastas Tom Hunter antud VPN-i kontoga ja läks kliendi kohalikku võrku. Konto asus Active Directory domeeni sees, nii et AD oli võimalik ilma eriliste nippideta - kogu avalikult kättesaadav info kasutajate ja töömasinate kohta tühjendada.
Tom käivitas utiliidi adfind ja hakkas domeenikontrollerile LDAP-päringuid saatma. Filtriga objektikategoorias, määrates atribuudina isiku. Vastus tuli tagasi järgmise struktuuriga:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZLisaks sellele oli palju kasulikku teavet, kuid kõige huvitavam oli väljal >kirjeldus: >kirjeldus. See on konto kommentaar – põhimõtteliselt mugav koht väiksemate märkmete tegemiseks. Kuid kliendi administraatorid otsustasid, et paroolid võivad seal ka vaikselt istuda. Keda ometi võiksid huvitada kõik need tähtsusetud ametlikud dokumendid? Nii et Tomi kommentaarid olid järgmised:
Создал Администратор, 2018.11.16 7po!*VqnSa ei pea olema raketiteadlane, et mõista, miks kombinatsioon lõpus on kasulik. Ei jäänud muud üle, kui sõeluda CD-lt suur vastusefail välja >kirjelduse abil: ja siin nad olidki - 20 sisselogimis-parooli paari. Pealegi on peaaegu pooltel RDP juurdepääsuõigused. Pole paha sillapea, aeg on ründavad jõud jagada.
võrgukeskkond
Ligipääsetavad Baskerville'i pallide hagijad meenutasid suurlinna kogu oma kaoses ja ettearvamatus. Kasutaja- ja RDP-profiilidega Tom Hunter oli selles linnas katkine poiss, kuid isegi tal õnnestus turvapoliitika läikivate akende kaudu palju asju näha.
Failiserverite osad, raamatupidamiskontod ja isegi nendega seotud skriptid avalikustati. Ühe sellise skripti seadetest leidis Tom ühe kasutaja MS SQL räsi. Väike toore jõu maagia – ja kasutaja räsi muutus lihtteksti parooliks. Tänu John The Ripperile ja Hashcatile.
See võti peaks sobima mõnele rinnale. Rind leiti ja veelgi enam, sellega seostati veel kümme "kirstu". Ja kuue sees olid... superkasutaja õigused, nt volitussüsteem! Kahel neist saime käivitada xp_cmdshelli salvestatud protseduuri ja saata Windowsile cmd-käske. Mida veel tahta?
Domeenikontrollerid
Tom Hunter valmistas domeenikontrolleritele ette teise löögi. Vastavalt geograafiliselt kaugemate serverite arvule oli neid "Baskerville'ide koerte" võrgus kolm. Igal domeenikontrolleril on avalik kaust, nagu avatud vitriin poes, mille läheduses hängib seesama vaene poiss Tom.
Ja seekord tüübil jälle vedas – nad unustasid skripti vitriinist eemaldada, kuhu oli kõvasti kodeeritud kohaliku serveri administraatori parool. Seega oli tee domeenikontrollerini avatud. Tule sisse, Tom!
Siit tõmmati võlukübar , kes sai kasu mitmest domeeniadministraatorist. Tom Hunter pääses ligi kõikidele kohaliku võrgu masinatele ja kuradi naer hirmutas kassi kõrvaltoolist. See marsruut oli oodatust lühem.
EternalBlue
Mälestus WannaCryst ja Petyast on pentestijate meeles endiselt elus, kuid mõned adminnid näivad olevat lunavara teiste õhtuste uudiste voos unustanud. Tom avastas kolm sõlme, millel on SMB-protokolli haavatavus – CVE-2017-0144 või EternalBlue. See on sama haavatavus, mida kasutati WannaCry ja Petya lunavara levitamiseks – haavatavus, mis võimaldab hostis käivitada suvalise koodi. Ühes haavatavas sõlmes oli domeeni administraatori seanss - "kasutage ja hankige see". Mis teha, aeg pole kõiki õpetanud.
"Basterville'i koer"
Infoturbe klassikutele meeldib korrata, et iga süsteemi nõrgim koht on inimene. Kas märkate, et ülaltoodud pealkiri ei ühti poe nimega? Võib-olla pole kõik nii tähelepanelikud.
Andmepüügi kassahittide parimate traditsioonide kohaselt registreeris Tom Hunter domeeni, mis erineb ühe tähe võrra domeenist “Hounds of the Baskervilles”. Sellel domeenil olev postiaadress imiteeris poe infoturbeteenuse aadressi. Nelja päeva jooksul kella 4-16 saadeti võltsaadressilt 00 aadressile ühtlaselt järgmine kiri:
Võib-olla päästis töötajaid paroolide massilisest lekkimisest ainult nende endi laiskus. 360 kirjast avati vaid 61 - turvateenus pole eriti populaarne. Aga siis oli lihtsam.
Andmepüügileht
Lingil klõpsas 46 inimest ja ligi pooled - 21 töötajat - ei vaadanud aadressiribale ning sisestasid rahulikult oma sisselogimised ja paroolid. Hea saak, Tom.
WiFi-võrk
Nüüd polnud enam vaja kassi abile loota. Tom Hunter viskas oma vanasse sedaani mitu rauatükki ja läks Baskerville'ide hagija kontorisse. Tema visiidiga kokku ei lepitud: Tom kavatses kliendi WiFi-ühendust testida. Ärikeskuse parklas oli mitu vaba kohta, mis mahtusid mugavalt sihtvõrgu perimeetrisse. Ilmselt ei mõelnud nad selle piirangule kuigi palju – justkui topiksid administraatorid suvaliselt lisapunkte vastuseks mis tahes kaebusele nõrga Wi-Fi kohta.
Kuidas WPA/WPA2 PSK turvalisus töötab? Pöörduspunkti ja klientide vahelist krüptimist tagab seansieelne võti – Pairwise Transient Key (PTK). PTK kasutab eeljagatud võtit ja viit muud parameetrit – SSID, Authenticator Unounce (ANounce), Supplicant Noounce (SNounce), pöörduspunkti ja kliendi MAC-aadressid. Tom püüdis kinni kõik viis parameetrit ja nüüd oli puudu ainult eeljagatud võti.
Hashcati utiliit laadis selle puuduva lingi alla umbes 50 minutiga – ja meie kangelane sattus külaliste võrku. Sealt oli juba näha töötav – veider küll, siin sai Tom parooliga hakkama umbes üheksa minutiga. Ja seda kõike parklast lahkumata, ilma VPN-ita. Töötav võrgustik avas meie kangelasele ruumi koletuteks tegevusteks, kuid ta... ei lisanud poekaardile kunagi boonuseid.
Tom peatus, vaatas kella, viskas paar rahatähte lauale ja hüvastijättes lahkus kohvikust. Võib-olla on see jälle pentest või on see sees Mõtlesin kirjutada...
Allikas: www.habr.com