Les retards de signature sont courants dans toute grande entreprise. L’accord entre Tom Hunter et une chaîne d’animalerie pour un test d’intrusion approfondi ne fait pas exception. Nous avons dû vérifier le site Web, le réseau interne et même le Wi-Fi fonctionnel.
Il n’est pas surprenant que mes mains me démangent avant même que toutes les formalités ne soient réglées. Eh bien, parcourez simplement le site au cas où, il est peu probable qu'un magasin aussi connu que « Le Chien des Baskerville » commette des erreurs ici. Quelques jours plus tard, Tom a finalement reçu le contrat original signé - à ce moment-là, autour de la troisième tasse de café, Tom du CMS interne a évalué avec intérêt l'état des entrepôts...
Source:
Mais il n'était pas possible de gérer grand-chose dans le CMS - les administrateurs du site ont interdit l'adresse IP de Tom Hunter. Même s'il serait possible d'avoir le temps de générer des bonus sur la carte du magasin et de nourrir votre chat bien-aimé à bas prix pendant plusieurs mois... "Pas cette fois, Dark Sidious", pensa Tom avec un sourire. Il ne serait pas moins intéressant de passer de l’espace site internet au réseau local du client, mais apparemment ces segments ne sont pas connectés pour le client. Pourtant, cela se produit plus souvent dans les très grandes entreprises.
Après toutes les formalités, Tom Hunter s’est armé du compte VPN fourni et s’est rendu sur le réseau local du client. Le compte se trouvait dans le domaine Active Directory, il était donc possible de vider AD sans aucune astuce particulière - en drainant toutes les informations accessibles au public sur les utilisateurs et les machines en état de marche.
Tom a lancé l'utilitaire adfind et a commencé à envoyer des requêtes LDAP au contrôleur de domaine. Avec un filtre sur la classe objectСategory, spécifiant la personne comme attribut. La réponse est revenue avec la structure suivante :
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZEn plus de cela, il y avait beaucoup d'informations utiles, mais la plus intéressante était dans le champ >description : >description. Il s'agit d'un commentaire sur un compte - essentiellement un endroit pratique pour conserver des notes mineures. Mais les administrateurs du client ont décidé que les mots de passe pouvaient également rester discrètement. Qui, après tout, pourrait être intéressé par tous ces documents officiels insignifiants ? Les commentaires reçus par Tom étaient donc :
Создал Администратор, 2018.11.16 7po!*VqnVous n’avez pas besoin d’être un génie pour comprendre pourquoi la combinaison à la fin est utile. Il ne restait plus qu'à analyser le gros fichier de réponses du CD à l'aide du champ >description : et les voici : 20 paires login-mot de passe. De plus, près de la moitié disposent de droits d’accès RDP. Ce n’est pas une mauvaise tête de pont, il est temps de diviser les forces attaquantes.
Environnement réseau
Les bals accessibles des Chiens de Baskerville rappelaient une grande ville dans tout son chaos et son imprévisibilité. Avec les profils d'utilisateurs et RDP, Tom Hunter était un garçon fauché dans cette ville, mais même lui a réussi à voir beaucoup de choses à travers les fenêtres brillantes de la politique de sécurité.
Des parties des serveurs de fichiers, des comptes comptables et même des scripts qui leur sont associés ont tous été rendus publics. Dans les paramètres de l'un de ces scripts, Tom a trouvé le hachage MS SQL d'un utilisateur. Un peu de magie par force brute - et le hachage de l'utilisateur s'est transformé en un mot de passe en texte brut. Merci à John The Ripper et Hashcat.
Cette clé aurait dû tenir dans un coffre. Le coffre a été retrouvé et, de plus, dix autres « coffres » lui ont été associés. Et à l'intérieur des six laïcs... droits de superutilisateur, système d'autorité nt ! Sur deux d'entre eux, nous avons pu exécuter la procédure stockée xp_cmdshell et envoyer des commandes cmd à Windows. Que pourrais-tu vouloir de plus?
Contrôleurs de domaine
Tom Hunter a préparé le deuxième coup dur pour les contrôleurs de domaine. Ils étaient trois dans le réseau « Les Chiens des Baskerville », en fonction du nombre de serveurs géographiquement distants. Chaque contrôleur de domaine possède un dossier public, comme une vitrine ouverte dans un magasin, près duquel traîne le même pauvre garçon, Tom.
Et cette fois, le gars a encore eu de la chance : ils ont oublié de supprimer le script de la vitrine, où le mot de passe administrateur du serveur local était codé en dur. Le chemin vers le contrôleur de domaine était donc ouvert. Entrez, Tom !
Ici du chapeau magique a été retiré , qui a profité de plusieurs administrateurs de domaine. Tom Hunter a eu accès à toutes les machines du réseau local et le rire diabolique a effrayé le chat de la chaise voisine. Cet itinéraire était plus court que prévu.
EternalBlue
Le souvenir de WannaCry et Petya est toujours vivace dans l’esprit des pentesters, mais certains administrateurs semblent avoir oublié les ransomwares dans le flux des autres informations du soir. Tom a découvert trois nœuds présentant une vulnérabilité dans le protocole SMB : CVE-2017-0144 ou EternalBlue. Il s'agit de la même vulnérabilité qui a été utilisée pour distribuer les ransomwares WannaCry et Petya, une vulnérabilité qui permet l'exécution de code arbitraire sur un hôte. Sur l'un des nœuds vulnérables, il y avait une session d'administration de domaine - "exploitez-le et récupérez-le". Que pouvez-vous faire, le temps n'a pas appris à tout le monde.
"Le chien de Basterville"
Les classiques de la sécurité de l’information aiment répéter que le point le plus faible de tout système est la personne. Vous remarquez que le titre ci-dessus ne correspond pas au nom du magasin ? Peut-être que tout le monde n’est pas aussi attentif.
Dans la plus pure tradition des blockbusters de phishing, Tom Hunter a enregistré un domaine qui diffère d'une lettre du domaine « Les Chiens des Baskerville ». L'adresse postale de ce domaine imite l'adresse du service de sécurité de l'information du magasin. Pendant 4 jours, de 16h00 à 17h00, la lettre suivante a été envoyée uniformément à 360 adresses à partir d'une fausse adresse :
Peut-être que seule leur propre paresse a sauvé les employés d'une fuite massive de mots de passe. Sur 360 lettres, seules 61 ont été ouvertes - le service de sécurité n'est pas très apprécié. Mais ensuite c'était plus facile.
Page de phishing
46 personnes ont cliqué sur le lien et près de la moitié - 21 salariés - n'ont pas regardé la barre d'adresse et ont saisi sereinement leurs identifiants et mots de passe. Belle prise, Tom.
Réseau Wi-Fi
Désormais, il n'était plus nécessaire de compter sur l'aide du chat. Tom Hunter jeta plusieurs morceaux de fer dans sa vieille berline et se rendit au bureau du Chien des Baskerville. Sa visite n’était pas convenue : Tom allait tester le Wi-Fi du client. Sur le parking du centre d'affaires, il y avait plusieurs places libres, commodément incluses dans le périmètre du réseau cible. Apparemment, ils n'ont pas beaucoup réfléchi à ses limites - comme si les administrateurs soulignaient au hasard des points supplémentaires en réponse à toute plainte concernant un Wi-Fi faible.
Comment fonctionne la sécurité WPA/WPA2 PSK ? Le cryptage entre le point d'accès et les clients est assuré par une clé de pré-session - Pairwise Transient Key (PTK). PTK utilise la clé pré-partagée et cinq autres paramètres : SSID, Authenticator Noounce (ANounce), Supplicant Noounce (SNounce), point d'accès et adresses MAC du client. Tom a intercepté les cinq paramètres, et il ne manquait plus que la clé pré-partagée.
L'utilitaire Hashcat a téléchargé ce lien manquant en 50 minutes environ - et notre héros s'est retrouvé dans le réseau invité. De là, vous pouviez déjà voir celui qui fonctionnait - assez curieusement, ici Tom a géré le mot de passe en neuf minutes environ. Et tout cela sans quitter le parking, sans aucun VPN. Le réseau de travail a ouvert la voie à des activités monstrueuses pour notre héros, mais il... n'a jamais ajouté de bonus à la carte du magasin.
Tom s'arrêta, regarda sa montre, jeta quelques billets sur la table et, disant au revoir, quitta le café. Peut-être que c'est encore un pentest, ou peut-être que c'est dans J'ai pensé à écrire...
Source: habr.com