Fertragingen by ûndertekening binne gewoan foar elk grut bedriuw. De oerienkomst tusken Tom Hunter en ien keten pet winkel foar yngeande pentesting wie gjin útsûndering. Wy moasten de webside kontrolearje, it ynterne netwurk, en sels wurkjen Wi-Fi.
It is net ferrassend dat myn hannen jûkten noch foardat alle formaliteiten ôfsletten wiene. No, scan de side gewoan foar it gefal, it is net wierskynlik dat sa'n bekende winkel as "The Hound of the Baskervilles" hjir flaters meitsje sil. In pear dagen letter krige Tom úteinlik it tekene orizjinele kontrakt levere - op dit stuit, oer de tredde beker kofje, beoardiele Tom fan 'e ynterne CMS mei belangstelling de steat fan' e pakhuzen ...
Boarne:
Mar it wie net mooglik om in protte te behearjen yn 'e CMS - de sidebehearders ferbean de IP fan Tom Hunter. Hoewol it mooglik wêze soe om tiid te hawwen om bonussen op 'e winkelkaart te generearjen en jo leafste kat in protte moannen goedkeap te fieden ... "Net dizze kear, Darth Sidious," tocht Tom mei in glimke. It soe net minder nijsgjirrich wêze om fan it websidegebiet nei it lokale netwurk fan 'e klant te gean, mar blykber binne dizze segminten net ferbûn foar de kliïnt. Dochs bart dat faker yn hiel grutte bedriuwen.
Nei alle formaliteiten bewapene Tom Hunter himsels mei it levere VPN-akkount en gie nei it lokale netwurk fan 'e klant. It akkount wie binnen it Active Directory-domein, dus it wie mooglik om AD te dumpen sûnder spesjale trúkjes - alle iepenbier beskikbere ynformaasje oer brûkers en wurkmasines ôfwetterje.
Tom lansearre it adfind-hulpprogramma en begon LDAP-oanfragen te ferstjoeren nei de domeincontroller. Mei in filter op de objectСategory klasse, spesifisearje persoan as in attribút. It antwurd kaam werom mei de folgjende struktuer:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZDêrnjonken wie der in protte nuttige ynformaasje, mar de meast nijsgjirrige wie yn it fjild >beskriuwing: >beskriuwing. Dit is in opmerking op in akkount - yn prinsipe in handich plak om lytse notysjes te hâlden. Mar de behearders fan de klant besletten dat de wachtwurden der ek rêstich sitte koene. Wa soe ommers ynteressearje kinne yn al dizze ûnbelangrike offisjele records? Dus de opmerkingen dy't Tom krige wiene:
Создал Администратор, 2018.11.16 7po!*VqnJo hoege gjin raketwittenskipper te wêzen om te begripen wêrom't de kombinaasje oan 'e ein nuttich is. Alles wat oerbleau wie it grutte antwurdtriem fan 'e CD te parsearjen mei it >beskriuwingsfjild: en hjir wiene se - 20 oanmeldwachtwurdpearen. Boppedat hat hast de helte RDP tagongsrjochten. Net in minne brêgekop, tiid om de oanfalskrêften te ferdielen.
netwurk
De tagonklike ballen fan Hounds of the Baskerville diene tinken oan in grutte stêd yn al syn gaos en ûnfoarspelberens. Mei brûkers- en RDP-profilen wie Tom Hunter in brutsen jonge yn dizze stêd, mar sels wist hy in protte dingen te sjen troch de glânzjende finsters fan feiligensbelied.
Dielen fan bestânservers, boekhâldingsakkounts, en sels skripts dy't dêrmei ferbûn binne waarden allegear iepenbier makke. Yn 'e ynstellings fan ien fan dizze skripts fûn Tom de MS SQL-hash fan ien brûker. In bytsje brute force magy - en de hash fan de brûker feroare yn in gewoane tekstwachtwurd. Mei tank oan John The Ripper en Hashcat.
Dizze kaai moat wat boarst passe hawwe. De kiste waard fûn, en wat mear is, der wiene noch tsien "kisten" oan ferbûn. En binnen de seis leine... superbrûkersrjochten, nt autoriteitssysteem! Op twa fan harren koenen wy de xp_cmdshell opsleine proseduere útfiere en cmd-kommando's nei Windows stjoere. Wat kinne jo mear wolle?
Domain controllers
Tom Hunter hat de twadde klap foar domeincontrollers taret. D'r wiene trije fan har yn it netwurk "Dogs of the Baskervilles", yn oerienstimming mei it oantal geografysk op ôfstân tsjinners. Elke domeinkontrôler hat in iepenbiere map, lykas in iepen vitrine yn in winkel, dêr't deselde earme jonge Tom úthinget.
En dizze kear hie de keardel wer gelok - se fergeaten it skript te ferwiderjen fan 'e displaykast, wêr't it lokale tsjinner admin wachtwurd hardcoded wie. Dat it paad nei de domeincontroller wie iepen. Kom yn, Tom!
Hjir út 'e magyske hoed waard lutsen , dy't profitearre fan ferskate domeinbehearders. Tom Hunter krige tagong ta alle masines op it lokale netwurk, en de duvelske laitsjen skrok de kat út 'e folgjende stoel. Dizze rûte wie koarter as ferwachte.
Ivige Blau
It ûnthâld fan WannaCry en Petya libbet noch yn 'e tinzen fan pentesters, mar guon admins lykje ransomware fergetten te hawwen yn 'e stream fan oare jûnsnijs. Tom ûntduts trije knooppunten mei in kwetsberens yn it SMB-protokol - CVE-2017-0144 of EternalBlue. Dit is deselde kwetsberens dy't waard brûkt om de WannaCry en Petya ransomware te fersprieden, in kwetsberens wêrmei willekeurige koade kin wurde útfierd op in host. Op ien fan 'e kwetsbere knopen wie d'r in domein admin sesje - "exploitearje en krije it." Wat kinne jo dwaan, de tiid hat net elkenien leard.
"De hûn fan Basterville"
Klassikers fan ynformaasjefeiligens wolle graach werhelje dat it swakste punt fan elk systeem de persoan is. Merk op dat de kop hjirboppe net oerienkomt mei de namme fan 'e winkel? Miskien is net elkenien sa oandachtich.
Yn 'e bêste tradysjes fan phishing-blockbusters registrearre Tom Hunter in domein dat mei ien letter ferskilt fan it domein "Hounds of the Baskervilles". It postadres op dit domein imitearre it adres fan de ynformaasjebefeiligingstsjinst fan 'e winkel. Yn 'e rin fan 4 dagen fan 16 oant 00 oere waard de folgjende brief unifoarm ferstjoerd nei 17 adressen fan in falsk adres:
Miskien, allinich har eigen luiheid rêde meiwurkers fan it massale lek fan wachtwurden. Fan 360 brieven waarden mar 61 iepene - de befeiligingstsjinst is net heul populêr. Mar doe wie it makliker.
Phishing side
46 minsken klikten op de keppeling en hast de helte - 21 meiwurkers - seagen net nei de adresbalke en fierden kalm harren logins en wachtwurden yn. Moai fangen, Tom.
Wi-Fi netwurk
No hoegde der net op de help fan de kat te rekkenjen. Tom Hunter smiet ferskate stikken izer yn syn âlde sedan en gie nei it kantoar fan 'e Hound of the Baskervilles. Syn besite waard net ôfpraat: Tom soe de Wi-Fi fan de klant testje. Op it parkearplak fan it saaklike sintrum wiene ferskate frije romten dy't handich waarden opnommen yn 'e perimeter fan it doelnetwurk. Blykber tochten se net folle nei oer syn beheining - as soene de behearders willekeurich ekstra punten prikken yn reaksje op elke klacht oer swak Wi-Fi.
Hoe wurket WPA / WPA2 PSK feiligens? Fersifering tusken it tagongspunt en kliïnten wurdt fersoarge troch in pre-sesje-kaai - Pairwise Transient Key (PTK). PTK brûkt de Pre-Shared Key en fiif oare parameters - SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), tagongspunt en client MAC-adressen. Tom ûnderskepte alle fiif parameters, en no ûntbrekt allinich de Pre-Shared Key.
It Hashcat-hulpprogramma hat dizze ûntbrekkende keppeling yn sawat 50 minuten ynladen - en ús held einige yn it gastnetwurk. Dêrút koenen jo de wurkjende al sjen - frjemd genôch, hjir behearde Tom it wachtwurd yn sawat njoggen minuten. En dit alles sûnder it parkearplak te ferlitten, sûnder VPN. It wurkjende netwurk iepene romte foar meunsterlike aktiviteiten foar ús held, mar hy ... hat nea bonussen tafoege oan 'e winkelkaart.
Tom bleau stil, seach op syn horloazje, smiet in pear bankbiljetten op 'e tafel en gie ôfskied fan it kafee. Miskien is it wer in pentest, of miskien is it binnen Ik tocht oan skriuwen...
Boarne: www.habr.com