Allekirjoittamisen viivästykset ovat yleisiä kaikille suurille yrityksille. Tom Hunterin ja yhden ketjun lemmikkiliikkeen välinen sopimus perusteellisesta pentestauksesta ei ollut poikkeus. Meidän piti tarkistaa verkkosivusto, sisäinen verkko ja jopa toimiva Wi-Fi.
Ei ole yllättävää, että käteni kutisivat jo ennen kuin kaikki muodollisuudet oli suoritettu. No, skannaa vain sivusto varmuuden vuoksi, on epätodennäköistä, että niin tunnettu kauppa kuin "The Hound of the Baskervilles" tekee virheitä täällä. Pari päivää myöhemmin Tomille toimitettiin vihdoin allekirjoitettu alkuperäinen sopimus - tällä hetkellä kolmannen kahvikupin aikana Tom sisäisestä CMS:stä arvioi kiinnostuneena varastojen kunnon...
Lähde:
Mutta sisällönhallintajärjestelmässä ei ollut mahdollista hallita paljon - sivuston ylläpitäjät kielsivät Tom Hunterin IP: n. Vaikka olisi mahdollista saada aikaa kerätä bonuksia kauppakortille ja ruokkia rakastettua kissaasi halvalla monta kuukautta... "Ei tällä kertaa, Darth Sidious", Tom ajatteli hymyillen. Olisi yhtä mielenkiintoista siirtyä nettisivuilta asiakkaan lähiverkkoon, mutta ilmeisesti nämä segmentit eivät liity asiakkaalle. Silti tämä tapahtuu useammin erittäin suurissa yrityksissä.
Kaikkien muodollisuuksien jälkeen Tom Hunter aseistautui toimitetulla VPN-tilillä ja meni asiakkaan paikallisverkkoon. Tili oli Active Directory -verkkotunnuksen sisällä, joten AD oli mahdollista tyhjentää ilman erityisiä temppuja - tyhjentämällä kaikki julkisesti saatavilla olevat tiedot käyttäjistä ja työkoneista.
Tom käynnisti adfind-apuohjelman ja alkoi lähettää LDAP-pyyntöjä toimialueen ohjaimelle. Suodattimella objectСategory-luokassa, joka määrittää henkilön attribuutiksi. Vastaus palasi seuraavalla rakenteella:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZTämän lisäksi oli paljon hyödyllistä tietoa, mutta mielenkiintoisin oli >description: >description -kentässä. Tämä on tilin kommentti - periaatteessa kätevä paikka tehdä pieniä muistiinpanoja. Mutta asiakkaan järjestelmänvalvojat päättivät, että salasanat voivat myös istua siellä hiljaa. Kuka loppujen lopuksi voisi olla kiinnostunut kaikista näistä merkityksettömistä virallisista asiakirjoista? Joten Tomin saamat kommentit olivat:
Создал Администратор, 2018.11.16 7po!*VqnSinun ei tarvitse olla rakettitutkija ymmärtääksesi, miksi lopussa oleva yhdistelmä on hyödyllinen. Jäljelle jäi vain CD-levyn suuren vastaustiedoston jäsentäminen >description-kentän avulla: ja tässä ne olivat - 20 kirjautumissalasana-paria. Lisäksi lähes puolella heistä on RDP-käyttöoikeudet. Ei huono sillanpää, aika jakaa hyökkäävät joukot.
verkkoon
Esteetön Hounds of the Baskerville -pallot muistuttivat suurkaupunkia kaikessa kaaoksessa ja arvaamattomuudessaan. Käyttäjä- ja RDP-profiileilla Tom Hunter oli rikkipoika tässä kaupungissa, mutta hänkin onnistui näkemään paljon asioita turvallisuuspolitiikan loistavien ikkunoiden läpi.
Tiedostopalvelimien osat, kirjanpitotilit ja jopa niihin liittyvät komentosarjat julkistettiin. Yhden näistä skripteistä Tom löysi yhden käyttäjän MS SQL -hajautusarvon. Pientä raa'aa voimaa - ja käyttäjän hash muuttui pelkäksi tekstiksi salasanaksi. Kiitos John The Ripperille ja Hashcatille.
Tämän avaimen olisi pitänyt sopia johonkin rintaan. Arkku löydettiin, ja lisäksi siihen yhdistettiin kymmenen muuta "arkkua". Ja kuuden sisällä oli... pääkäyttäjän oikeudet, nt auktoriteettijärjestelmä! Kahdessa niistä pystyimme ajamaan xp_cmdshell-tallennettua toimintosarjaa ja lähettämään cmd-komentoja Windowsille. Mitä muuta voisit haluta?
Verkkotunnuksen ohjaimet
Tom Hunter valmisteli toisen iskun toimialueen ohjaimille. Niitä oli kolme "Dogs of the Baskervilles" -verkossa maantieteellisesti etäpalvelinten lukumäärän mukaan. Jokaisella toimialueen ohjaimella on julkinen kansio, kuten avoin vitriini myymälässä, jonka lähellä sama köyhä poika Tom hengailee.
Ja tällä kertaa kaveri oli jälleen onnekas - he unohtivat poistaa skriptin näyttökotelosta, jossa paikallisen palvelimen järjestelmänvalvojan salasana oli kovakoodattu. Joten polku toimialueen ohjaimeen oli auki. Tule sisään, Tom!
Täällä taikahattu vedettiin , joka hyötyi useista verkkotunnuksen ylläpitäjistä. Tom Hunter pääsi kaikkiin paikallisverkon koneisiin, ja pirullinen nauru pelotti kissan viereisestä tuolista. Tämä reitti oli odotettua lyhyempi.
EternalBlue
WannaCryn ja Petyan muisto on edelleen elossa pentestaajien mielessä, mutta jotkut järjestelmänvalvojat näyttävät unohtaneen lunnasohjelmat muiden iltauutisten virrassa. Tom löysi kolme solmua, joissa oli haavoittuvuus SMB-protokollasta - CVE-2017-0144 tai EternalBlue. Tämä on sama haavoittuvuus, jota käytettiin WannaCryn ja Petya ransomwaren levittämiseen. Haavoittuvuus mahdollistaa mielivaltaisen koodin suorittamisen isännässä. Yhdessä haavoittuvissa solmuissa oli verkkotunnuksen järjestelmänvalvojan istunto - "hyödynnä ja hanki se". Mitä voit tehdä, aika ei ole opettanut kaikkia.
"Bastervillen koira"
Tietoturvallisuuden klassikot toistavat mielellään, että minkä tahansa järjestelmän heikoin kohta on ihminen. Huomaatko, että yllä oleva otsikko ei vastaa kaupan nimeä? Ehkä kaikki eivät ole niin tarkkaavaisia.
Tietojenkalastelumenojen parhaiden perinteiden mukaisesti Tom Hunter rekisteröi verkkotunnuksen, joka eroaa yhdellä kirjaimella "Hounds of the Baskervilles" -verkkotunnuksesta. Tämän verkkotunnuksen postiosoite jäljitteli kaupan tietoturvapalvelun osoitetta. Neljän päivän aikana klo 4-16 lähetettiin seuraava kirje yhtenäisesti 00 osoitteeseen väärennetystä osoitteesta:
Ehkä vain heidän oma laiskuutensa pelasti työntekijät salasanojen massavuodosta. 360 kirjeestä vain 61 avattiin - turvallisuuspalvelu ei ole kovin suosittu. Mutta sitten se oli helpompaa.
Tietojenkalastelusivu
46 ihmistä napsautteli linkkiä ja lähes puolet - 21 työntekijää - ei katsonut osoitepalkkia ja syötti rauhallisesti käyttäjätunnuksensa ja salasanansa. Hieno saalis, Tom.
Wi-Fi-verkko
Nyt ei tarvinnut enää luottaa kissan apuun. Tom Hunter heitti useita raudankappaleita vanhaan sedaniinsa ja meni Baskervillen koiran toimistoon. Hänen vierailustaan ei sovittu: Tom aikoi testata asiakkaan Wi-Fi-yhteyttä. Liikekeskuksen parkkipaikalla oli useita vapaita paikkoja, jotka sisältyivät kätevästi kohdeverkoston kehään. Ilmeisesti he eivät juurikaan miettineet sen rajoitusta - ikään kuin järjestelmänvalvojat olisivat satunnaisesti pistäneet lisäpisteitä vastauksena heikoista Wi-Fi-verkoista tehtyihin valituksiin.
Miten WPA/WPA2 PSK -suojaus toimii? Tukiaseman ja asiakkaiden välinen salaus saadaan aikaan istuntoa edeltävällä avaimella - Pairwise Transient Key (PTK). PTK käyttää Pre-Shared Key -avainta ja viittä muuta parametria - SSID, Authenticator Noounce (ANounce), Supplicant Noounce (SNounce), tukiaseman ja asiakkaan MAC-osoitteet. Tom sieppasi kaikki viisi parametria, ja nyt vain esijaettu avain puuttui.
Hashcat-apuohjelma latasi tämän puuttuvan linkin noin 50 minuutissa - ja sankarimme päätyi vierasverkkoon. Siitä näkyi jo toimiva salasana - kummallista kyllä, tässä Tom onnistui salasanan noin yhdeksässä minuutissa. Ja kaikki tämä poistumatta parkkipaikalta, ilman VPN:ää. Toimiva verkosto avasi sankarillemme mahdollisuuksia hirviömäisiin toimiin, mutta hän... ei koskaan lisännyt bonuksia kauppakorttiin.
Tom pysähtyi, katsoi kelloaan, heitti pari seteliä pöydälle ja hyvästit poistui kahvilasta. Ehkä se on pentest taas, tai ehkä se on mukana Ajattelin kirjoittaa...
Lähde: will.com