Scríobhadh an t-alt seo bunaithe ar phéint an-rathúil a rinne speisialtóirí Group-IB cúpla bliain ó shin: tharla scéal a d'fhéadfaí a oiriúnú don scannán i Bollywood. Anois, is dócha, beidh freagairt an léitheora ina dhiaidh: “Ó, alt PR eile, arís tá siad seo á léiriú, cé chomh maith agus atá siad, ná déan dearmad pentest a cheannach.” Bhuel, ar thaobh amháin, tá sé. Mar sin féin, tá roinnt cúiseanna eile cén fáth an chuma alt seo. Theastaigh uaim a thaispeáint cad go díreach a dhéanann pentesters, cé chomh suimiúil agus neamh-fánach is féidir an obair seo a bheith, cad is féidir imthosca greannmhar teacht chun cinn i dtionscadail, agus is tábhachtaí, a thaispeáint ábhar beo le samplaí fíor.
Chun cothromaíocht na modesty a athbhunú ar fud an domhain, tar éis tamaill beidh muid ag scríobh faoi pentest nach ndeachaigh go maith. Taispeánfaimid conas is féidir le próisis dhea-dheartha i gcuideachta cosaint i gcoinne raon iomlán ionsaithe, fiú cinn dea-ullmhaithe, go simplí toisc go bhfuil na próisis seo ann agus go n-oibríonn siad i ndáiríre.
Maidir leis an gcustaiméir san Airteagal seo, bhí gach rud freisin go ginearálta den scoth, ar a laghad níos fearr ná 95% den mhargadh i gCónaidhm na Rúise, de réir ár mothúcháin, ach bhí roinnt nuances beag a bhí ina slabhra fada imeachtaí, a bhí ar dtús. ba chúis le tuarascáil fhada ar an obair , agus ansin leis an Airteagal seo.
Mar sin, déanaimis stocáil ar an grán rósta, agus fáilte romhat chuig scéal na bleachtaireachta. Focal - Pavel Suprunyuk, bainisteoir teicniúil ar an roinn “Iniúchadh agus Comhairliúchán” de Ghrúpa-IB.
Cuid 1. Pochkin dochtúir
2018 Tá custaiméir - cuideachta ardteicneolaíochta TF, a fhreastalaíonn ar féin go leor cliant. Ag iarraidh freagra a fháil ar an gceist: an féidir, gan aon eolas tosaigh agus rochtain tosaigh, ag obair tríd an Idirlíon, a fháil cearta riarthóir fearainn Eolaire Gníomhach? Níl suim agam in aon innealtóireacht shóisialta (), níl sé ar intinn acu cur isteach ar an obair ar chuspóir, ach féadfaidh siad de thaisme - freastalaí a oibríonn go aisteach a athlódáil, mar shampla. Sprioc breise is ea an oiread veicteoirí ionsaithe eile agus is féidir a aithint in aghaidh an imlíne sheachtraigh. Déanann an chuideachta tástálacha den sórt sin go rialta, agus anois tá an spriocdháta le haghaidh tástála nua tagtha. Tá na coinníollacha beagnach tipiciúil, leordhóthanach, intuigthe. Ar aghaidh linn.
Tá ainm an chustaiméara - bíodh sé mar "Cuideachta", leis an bpríomhláithreán gréasáin . Ar ndóigh, tá an custaiméir ar a dtugtar difriúil, ach san Airteagal seo beidh gach rud a bheith neamhphearsanta.
Déanaim taiscéalaíocht líonra - faigh amach cé na seoltaí agus na fearainn atá cláraithe leis an gcustaiméir, tarraing léaráid líonra, conas a dháiltear seirbhísí ar na seoltaí sin. Faighim an toradh: níos mó ná 4000 seoladh IP beo. Breathnaím ar na fearainn sna líonraí seo: go fortunately, is líonraí iad formhór mór na gcliant atá ceaptha do chliaint an chustaiméara, agus níl suim fhoirmiúil againn iontu. Ceapann an custaiméir mar an gcéanna.
Tá líonra amháin fós ann le 256 seoladh, a bhfuil tuiscint ag an nóiméad seo ar dháileadh fearainn agus fofhearainn de réir seoltaí IP, tá faisnéis ann faoi na calafoirt scanta, rud a chiallaíonn gur féidir leat breathnú ar na seirbhísí le haghaidh cinn suimiúla. Ag an am céanna, seoltar gach cineál scanóir ar sheoltaí IP atá ar fáil agus ar leithligh ar láithreáin ghréasáin.
Tá go leor seirbhísí ann. De ghnáth is é seo an-áthas don pentester agus an oirchill bua tapa, ós rud é a seirbhísí níos mó ann, is mó an réimse le haghaidh ionsaí agus an éasca é a aimsiú Déantán. Léirigh breathnú tapa ar na láithreáin ghréasáin gur comhéadain gréasáin iad an chuid is mó acu de tháirgí aitheanta cuideachtaí móra domhanda, a insíonn gach láithreas duit nach bhfuil fáilte rompu. Iarrann siad ainm úsáideora agus pasfhocal, croith siad an réimse chun an dara fachtóir a iontráil, iarrann siad teastas cliant TLS, nó seol chuig Microsoft ADFS é. Tá cuid acu dorochtana go simplí ón Idirlíon. I gcás roinnt daoine, is léir go gcaithfidh cliant íoctha speisialta a bheith agat ar feadh trí thuarastal nó go mbeadh a fhios agat an URL beacht le dul isteach. Léimimis seachtain eile de dhiomantas de réir a chéile agus muid ag iarraidh leaganacha bogearraí a “bhriseadh tríd” le haghaidh leochaileachtaí aitheanta, cuardach a dhéanamh ar ábhar i bhfolach ar bhealaí gréasáin agus cuntais sceite ó sheirbhísí tríú páirtí ar nós LinkedIn, ag iarraidh pasfhocail a úsáid a thomhas, chomh maith. mar leochaileachtaí tochailte i láithreáin ghréasáin féin-scríofa - dála an scéil, de réir staitisticí, is é seo an veicteoir ionsaí is bisiúla inniu. Tabharfaidh mé faoi deara láithreach an gunna scannán a scaoil ina dhiaidh sin.
Mar sin, fuaireamar dhá shuíomh a sheas amach ó na céadta seirbhísí. Bhí rud amháin i gcoiteann ag na suíomhanna seo: mura mbíonn tú i mbun taiscéalaíochta líonra mionchúiseach de réir fearainn, ach breathnú go díreach ar phoirt oscailte nó díriú ar scanóir leochaileachta ag baint úsáide as raon IP aithnid, éalóidh na suíomhanna seo ón scanadh agus ní bheidh infheicthe gan an t-ainm DNS a fhios agam. B'fhéidir gur cailleadh iad níos luaithe, ar a laghad, agus níor tháinig ár n-uirlisí uathoibríocha ar aon fhadhbanna leo, fiú má cuireadh go díreach chuig an acmhainn iad.
Dála an scéil, faoi na rudaí a seoladh scanóirí a seoladh roimhe seo le fáil i gcoitinne. Cuir i gcuimhne duit: do dhaoine áirithe, is ionann “pentest” agus “scanáil uathoibrithe”. Ach dúirt na scanóirí ar an tionscadal seo faic. Bhuel, léirigh leochaileachtaí Meánacha an t-uasmhéid (3 as 5 i dtéarmaí déine): ar sheirbhís éigin droch-dheimhniú TLS nó halgartaim criptithe as dáta, agus ar an gcuid is mó de na suíomhanna Clickjacking. Ach ní bhfaighidh tú do sprioc. B'fhéidir go mbeadh scanóirí níos úsáidí anseo, ach lig dom i gcuimhne duit: tá an custaiméir féin in ann cláir den sórt sin a cheannach agus é féin a thástáil leo, agus, ag meas na dtorthaí brónacha, tá seiceáil déanta aige cheana féin.
Fillfimid ar na suíomhanna “aimhrialta”. Is é an chéad cheann rud éigin cosúil le Vicí áitiúil ag seoladh neamhchaighdeánach, ach san alt seo lig é a bheith wiki.company[.]ru. D'iarr sí logáil isteach agus pasfhocal láithreach freisin, ach trí NTLM sa bhrabhsálaí. Don úsáideoir, is cosúil le fuinneog ascetic é seo ag iarraidh ainm úsáideora agus pasfhocal a chur isteach. Agus is droch-chleachtas é seo.
Nóta beag. Tá NTLM i suíomhanna gréasáin imlíne dona ar roinnt cúiseanna. Is é an chéad chúis go bhfuil an t-ainm fearainn Eolaire Gníomhach a nochtadh. In ár sampla, d'éirigh sé amach freisin a bheith company.ru, díreach cosúil leis an "seachtrach" ainm DNS. Agus é seo ar eolas agat, is féidir leat rud éigin mailíseach a ullmhú go cúramach ionas nach ndéanfar é a fhorghníomhú ach ar mheaisín fearainn na heagraíochta, agus ní i mbosca gainimh éigin. Ar an dara dul síos, téann an fíordheimhniú go díreach tríd an rialtóir fearainn trí NTLM (iontas, ceart?), le gnéithe uile na mbeartas líonra “inmheánach”, lena n-áirítear cuntais a bhac ó líon na n-iarrachtaí iontrála pasfhocal a shárú. Má fhaigheann ionsaitheoir amach na logáil isteach, bainfidh sé triail as pasfhocail dóibh. Má tá tú cumraithe chun cuntais a bhlocáil ó phasfhocail mhíchearta a iontráil, oibreoidh sé agus cuirfear bac ar an gcuntas. Ar an tríú dul síos, tá sé dodhéanta an dara fachtóir a chur le fíordheimhniú den sórt sin. Má tá a fhios ag aon duine de na léitheoirí conas fós, cuir in iúl dom, tá sé an-suimiúil. Ceathrú, leochaileacht chun pas-an-ionsaithe hash. Bhí invented ADFS, i measc rudaí eile, a chosaint i gcoinne seo go léir.
Tá droch-airíonna amháin ag táirgí Microsoft: fiú murar fhoilsigh tú NTLM den sórt sin go sonrach, déanfar é a shuiteáil de réir réamhshocraithe in OWA agus Lync, ar a laghad.
Dála an scéil, chuir údar an ailt seo bac ar thart ar 1000 cuntas fostaithe de chuid banc mór amháin trí thimpiste i gceann uair an chloig ag baint úsáide as an modh céanna agus ansin d'fhéach sé beagán pale. Bhí seirbhísí TF an bhainc gann freisin, ach chríochnaigh gach rud go maith agus go leordhóthanach, moladh dúinn fiú a bheith ar an gcéad duine a d’aimsigh an fhadhb seo agus a spreag réiteach tapa agus cinntitheach.
Bhí an seoladh ag an dara suíomh “ar ndóigh de shaghas éigin seo caite.company.ru.” Aimsíodh é trí Google, rud éigin mar seo ar leathanach 10. Bhí an dearadh ó thús na XNUMXidí, agus bhí duine measúil ag féachaint air ón bpríomhleathanach, rud éigin mar seo:
Anseo ghlac mé fós ó “Heart of a Dog”, ach creidim dom, bhí sé an-chosúil, fiú go raibh an dearadh datha in toin cosúla. Lig an suíomh a ghlaoch preobrazhensky.company.ru.
Suíomh Gréasáin pearsanta a bhí ann... do úireolaí. N’fheadar cad a bhí á dhéanamh ag suíomh Gréasáin urologist ar fhofhearann cuideachta ardteicneolaíochta. Léirigh tochailt tapa ar Google go raibh an dochtúir seo ina chomhbhunaitheoir ar cheann d’eintitis dhlíthiúla ár gcustaiméirí agus gur chuir sé fiú thart ar 1000 rúbal sa chaipiteal údaraithe. Is dócha gur cruthaíodh an suíomh blianta fada ó shin, agus baineadh úsáid as acmhainní freastalaí an chustaiméara mar óstáil. Tá a ábharthacht caillte ag an suíomh le fada, ach ar chúis éigin fágadh é ag obair ar feadh i bhfad.
Maidir le leochaileachtaí, bhí an suíomh Gréasáin féin slán. Ag breathnú amach romhainn, déarfaidh mé gur sraith faisnéise statach a bhí ann - leathanaigh html simplí le léaráidí curtha isteach i bhfoirm na duáin agus na lamhnán. Níl sé úsáideach a leithéid de shuíomh a “bhriseadh”.
Ach bhí an freastalaí gréasáin thíos níos suimiúla. Ag breith ar an gceanntásc Freastalaí HTTP, bhí IIS 6.0 aige, rud a chiallaíonn gur úsáid sé Windows 2003 mar chóras oibriúcháin. D'aithin an scanóir roimhe seo gur fhreagair an suíomh Gréasáin urologist áirithe seo, murab ionann agus óstaigh fíorúla eile ar an bhfreastalaí gréasáin céanna, an t-ordú PROPFIND, rud a chiallaíonn go raibh sé ag rith WebDAV. Dála an scéil, chuir an scanóir an fhaisnéis seo ar ais leis an marc Info (i dteanga na dtuarascálacha scanóir, is é seo an chontúirt is ísle) - ní dhéantar rudaí den sórt sin go simplí de ghnáth. I dteannta a chéile, thug sé seo éifeacht suimiúil, rud a nochtadh ach amháin tar éis tochailt eile ar Google: leochaileacht ró-shreabhadh maolánach annamh a bhaineann le sraith Scáthbhróicéirí, is é sin CVE-2017-7269, a raibh dúshaothrú réidh déanta aige cheana féin. I bhfocail eile, beidh trioblóid ann má tá Windows 2003 agat agus WebDAV ag rith ar IIS. Cé gur fadhb ann féin é reáchtáil Windows 2003 i dtáirgeadh i 2018.
Chríochnaigh an saothrú i Metasploit agus tástáladh láithreach é le hualach a sheol iarratas DNS chuig seirbhís rialaithe - úsáidtear Burp Collaborator go traidisiúnta chun iarratais DNS a ghabháil. Chun mo iontas, d'oibrigh sé an chéad uair: fuarthas knockout DNS. Ansin, rinneadh iarracht backconnect a chruthú trí phort 80 (is é sin, nasc líonra ón bhfreastalaí chuig an ionsaitheoir, le rochtain ar cmd.exe ar an óstach íospartaigh), ach ansin tharla fiasco. Níor tháinig an nasc tríd, agus tar éis an tríú iarracht an suíomh a úsáid, mar aon leis na pictiúir suimiúla ar fad, imithe go deo.
De ghnáth bíonn litir ina dhiaidh seo i stíl “custaiméir, dúisigh, scaoileamar gach rud.” Ach dúradh linn nach bhfuil baint ar bith ag an suíomh le próisis ghnó agus go n-oibríonn sé ann gan aon chúis ar chor ar bith, cosúil leis an bhfreastalaí iomlán, agus gur féidir linn an acmhainn seo a úsáid mar is toil linn.
Thart ar lá ina dhiaidh sin thosaigh an suíomh ag obair leis féin. Tar éis binse a thógáil ó WebDAV ar IIS 6.0, fuair mé amach gurb é an socrú réamhshocraithe ná próisis oibrithe IIS a atosú gach 30 uair an chloig. Is é sin, nuair a d'éirigh le rialú an bhlaoscchód, tháinig deireadh leis an bpróiseas oibrithe IIS, ansin d'atosaigh sé é féin cúpla uair agus ansin chuaigh sé chun sosa ar feadh 30 uair an chloig.
Ós rud é gur theip ar an backconnect to tcp an chéad uair, chuir mé an fhadhb seo i leith port dúnta. Is é sin, ghlac sé leis go raibh balla dóiteáin de chineál éigin i láthair nár lig do naisc a bhí ag dul as oifig dul lasmuigh. Thosaigh mé ag rith shellcodes a chuardach trí go leor calafoirt tcp agus udp, ní raibh aon éifeacht. Níor oibrigh ualaí ceangail droim ar ais trí http(s) ó Metasploit - metrepreter/reverse_http(s). Go tobann, bunaíodh nasc leis an gcalafort céanna 80, ach thit láithreach. Chuir mé é seo i leith gníomh an IPS samhailteach fós, nár thaitin leis an trácht méadarmhéadair. I bhfianaise nach ndeachaigh nasc tcp íon le calafort 80 tríd, ach go ndearna nasc http, chinn mé go raibh seachfhreastalaí http cumraithe ar bhealach éigin sa chóras.
Bhain mé triail as méadaireadóir fiú trí DNS (buíochas mar gheall ar do chuid iarrachtaí, shábháil go leor tionscadal), ag meabhrú ar an gcéad rath, ach níor oibrigh sé ar an seastán fiú - bhí an blaoscchód ró-toirtiúil don leochaileacht seo.
I ndáiríre, d'fhéach sé mar seo: 3-4 iarracht ar ionsaithe laistigh de 5 nóiméad, ansin ag fanacht ar feadh 30 uair an chloig. Agus mar sin de ar feadh trí seachtaine i ndiaidh a chéile. Shocraigh mé meabhrúchán fiú ionas nach gcuirfí am amú. Ina theannta sin, bhí difríocht idir iompar na dtimpeallachtaí tástála agus táirgthe: don leochaileacht seo bhí dhá shaothrú comhchosúla, ceann amháin ó Metasploit, an dara ceann ón Idirlíon, arna thiontú ón leagan Shadow Brokers. Mar sin, níor tástáladh ach Metasploit sa chomhrac, agus níor tástáladh ach an dara ceann ar an mbinse, rud a d'fhág go raibh sé níos deacra fós dífhabhtú a dhéanamh agus briseadh inchinne.
Sa deireadh, d'éirigh le sligechód a d'íoslódáil comhad exe ó fhreastalaí ar leith trí http agus a sheol ar an spriocchóras é a bheith éifeachtach. Bhí an shellcode beag go leor chun a d'oirfeadh, ach ar a laghad d'oibrigh sé. Ós rud é nár thaitin trácht TCP leis an bhfreastalaí ar chor ar bith agus go ndearnadh cigireacht ar http(s) le haghaidh méadarmhéadair a bheith ann, chinn mé gurb é an bealach is tapúla ná comhad exe a íoslódáil ina raibh DNS-meterpreter tríd an sliogchód seo.
Tháinig fadhb anseo arís: nuair a bhí comhad exe á íoslódáil agus, mar a léirigh iarrachtaí, is cuma cén ceann, cuireadh isteach ar an íoslódáil. Arís, níor thaitin roinnt feiste slándála idir mo fhreastalaí agus an t-urologist le trácht http le exe taobh istigh. Ba chosúil gurbh é an réiteach “tapa” ná an sliogchód a athrú ionas go gcuirfeadh sé isteach ar thrácht http ar an eitilt, ionas go n-aistreofaí sonraí dénártha teibí in ionad exe. Ar deireadh, d'éirigh leis an ionsaí, fuarthas rialú tríd an gcainéal tanaí DNS:
Ba léir láithreach go bhfuil na cearta sreabhadh oibre IIS is bunúsaí agam, rud a ligeann dom gan aon rud a dhéanamh. Seo an chuma a bhí air ar an gconsól Metasploit:
Tugann na modheolaíochtaí pentest go léir le fios go láidir go gcaithfidh tú cearta a mhéadú agus rochtain á fháil agat. De ghnáth ní dhéanaim é seo go háitiúil, ós rud é go bhfeictear an chéad rochtain mar phointe iontrála líonra, agus de ghnáth bíonn sé níos éasca agus níos tapúla cur isteach ar mheaisín eile ar an líonra céanna ná pribhléidí ar óstach atá ann cheana féin a mhéadú. Ach ní hé seo an cás anseo, ós rud é go bhfuil an cainéal DNS an-chúng agus ní ligfidh sé don trácht glanadh suas.
Ag glacadh leis nach bhfuil an freastalaí Windows 2003 seo deisithe don leochaileacht cáiliúil MS17-010, déanaim trácht tollán chuig calafort 445/TCP tríd an tollán DNS méadair preter ar localhost (tá, is féidir é seo freisin) agus déan iarracht an exe a íoslódáladh roimhe seo a rith trí an leochaileacht. Oibríonn an t-ionsaí, faighim an dara nasc, ach le cearta CÓRAS.
Tá sé suimiúil go ndearna siad iarracht fós an freastalaí a chosaint ó MS17-010 - bhí seirbhísí líonra leochaileacha díchumasaithe aige ar an gcomhéadan seachtrach. Cosnaíonn sé seo in aghaidh ionsaithe thar an líonra, ach d'oibrigh an t-ionsaí ón taobh istigh ar localhost, mar ní féidir leat SMB a mhúchadh go tapa ar localhost.
Ansin, nochtfar sonraí suimiúla nua:
- Agus cearta CÓRAS agat, is féidir leat aisnasc a bhunú go héasca trí TCP. Ar ndóigh, is fadhb don úsáideoir teoranta IIS é TCP díreach a dhíchumasú. Spoiler: bhí trácht úsáideora an IIS fillte ar bhealach éigin sa Seachfhreastalaí ISA áitiúil sa dá threo. Conas go díreach a oibríonn sé, níl atáirgeadh agam.
- Táim i “DMZ” áirithe (agus ní fearann Eolaire Gníomhach é seo, ach GRÚPA OIBRE) - tá cuma loighciúil air. Ach in ionad an seoladh IP príobháideach (“liath”) a bhfuiltear ag súil leis, tá seoladh IP iomlán “bán” agam, díreach mar an gcéanna leis an gceann a d’ionsaigh mé níos luaithe. Ciallaíonn sé seo go bhfuil an chuideachta chomh sean sin i saol na seoltaí IPv4 go bhfuil sé d’acmhainn aici crios DMZ a choinneáil do 128 seoladh “bán” gan NAT de réir na scéime, mar a léirítear i lámhleabhair Cisco ó 2005.
Ós rud é go bhfuil an freastalaí sean, tá ráthaíocht ag Mimikatz oibriú go díreach ón gcuimhne:
Faighim pasfhocal an riarthóra áitiúil, tolláin tráchta RDP thar TCP agus logáil isteach i deasc cluthar. Ós rud é go bhféadfainn cibé rud a theastaigh uaim a dhéanamh leis an bhfreastalaí, bhain mé an frithvíreas amach agus fuair mé amach go raibh an freastalaí inrochtana ón Idirlíon amháin trí chalafoirt TCP 80 agus 443, agus ní raibh 443 gnóthach. Bhunaigh mé freastalaí OpenVPN ar 443, cuir feidhmeanna NAT le haghaidh mo thrácht VPN agus faigh rochtain dhíreach ar líonra DMZ i bhfoirm neamhtheoranta trí mo OpenVPN. Is fiú a thabhairt faoi deara gur chuir ISA, a bhfuil roinnt feidhmeanna IPS neamh-mhíchumais aige, bac ar mo thrácht le scanadh calafoirt, agus bhí sé riachtanach RRAS a bhí níos simplí agus níos comhlíontach a chur ina ionad. Mar sin uaireanta bíonn ar lucht pinn fós gach cineál rudaí a riar.
Fiafróidh léitheoir aireach: “Cad mar gheall ar an dara suíomh - vicí le fíordheimhniú NTLM, a bhfuil an oiread sin scríofa faoi?” Tuilleadh faoi seo níos déanaí.
Cuid 2. Fós ní criptithe? Ansin táimid ag teacht chugat anseo cheana féin
Mar sin, tá rochtain ar an deighleog líonra DMZ. Ní mór duit dul chuig an riarthóir fearainn. Is é an chéad rud a thagann chun cuimhne ná slándáil na seirbhísí laistigh den deighleog DMZ a sheiceáil go huathoibríoch, go háirithe ós rud é go bhfuil go leor eile acu oscailte le haghaidh taighde anois. Pictiúr tipiciúil le linn tástála treá: is fearr an t-imlíne seachtrach a chosaint ná na seirbhísí inmheánacha, agus nuair a bhíonn rochtain ar bith á fháil taobh istigh d’infrastruchtúr mór, tá sé i bhfad níos éasca cearta leathnaithe a fháil i bhfearann amháin toisc go dtosaíonn an fearann seo ar a bheith. inrochtana ar uirlisí, agus ar an dara dul síos, I mbonneagar ina bhfuil na mílte óstach, beidh cúpla fadhb ríthábhachtach i gcónaí.
Gearrann mé na scanóirí trí DMZ trí thollán OpenVPN agus fan. Osclaíonn mé an tuarascáil - arís rud ar bith tromchúiseach, is cosúil go ndeachaigh duine éigin tríd an modh céanna romham. Is é an chéad chéim eile scrúdú a dhéanamh ar an gcaoi a ndéanann hóstach laistigh den líonra DMZ cumarsáid. Chun seo a dhéanamh, seol an gnáth Wireshark ar dtús agus éist le haghaidh iarratais craolta, go príomha ARP. Bailíodh paicéid ARP an lá ar fad. Tharlaíonn sé go raibh roinnt geataí a úsáidtear sa deighleog seo. Beidh sé seo áisiúil níos déanaí. Trí shonraí ar iarratais agus ar fhreagraí ARP agus sonraí scanadh poirt a chomhcheangal, d'aimsigh mé pointí imeachta tráchta úsáideoirí ón taobh istigh den líonra áitiúil chomh maith leis na seirbhísí sin a bhí ar eolas roimhe seo, amhail gréasáin agus post.
Ós rud é faoi láthair ní raibh aon rochtain agam ar chórais eile agus nach raibh cuntas amháin agam ar sheirbhísí corparáideacha, socraíodh iascaireacht a dhéanamh ar chuntas éigin ar a laghad ón trácht ag baint úsáide as ARP Spoofing.
Seoladh Cain&Abel ar fhreastalaí an úireolaí. Agus na sreafaí tráchta aitheanta á gcur san áireamh, roghnaíodh na péirí is geallta don ionsaí fear-i-an-lár, agus ansin fuarthas roinnt tráchta líonra trí sheoladh gearrthéarmach ar feadh 5-10 nóiméad, le lasc ama chun an freastalaí a atosú. i gcás reo. Mar a tharla sa joke, bhí dhá nuacht:
- Go maith: fuarthas go leor dintiúirí agus d'oibrigh an t-ionsaí ina iomláine.
- An olc: tháinig na dintiúir go léir ó chliaint an chustaiméara féin. Agus iad ag soláthar seirbhísí tacaíochta, rinne speisialtóirí custaiméirí ceangailte le seirbhísí na gcliant nach raibh criptiú tráchta cumraithe i gcónaí.
Mar thoradh air sin, fuair mé go leor dintiúir a bhí gan úsáid i gcomhthéacs an tionscadail, ach cinnte suimiúil mar léiriú ar chontúirt an ionsaí. Chuir ródairí teorann cuideachtaí móra le telnet, calafoirt debug http ar aghaidh chuig CRM inmheánach leis na sonraí go léir, rochtain dhíreach ar RDP ó Windows XP ar an líonra áitiúil agus doiléire eile. Iompaigh sé amach mar seo .
Fuair mé deis greannmhar freisin litreacha a bhailiú ón trácht, rud éigin mar seo. Is sampla é seo de litir réamhdhéanta a chuaigh ónár gcustaiméir chuig calafort SMTP a chliaint, arís, gan criptiú. Iarrann Andrey áirithe ar a ainm an doiciméadú a athsheoladh, agus uaslódáiltear chuig diosca néil é le logáil isteach, pasfhocal agus nasc i litir fhreagra amháin:
Seo meabhrúchán eile chun gach seirbhís a chriptiú. Ní fios cé agus cathain a léifidh agus a úsáidfidh do shonraí go sonrach - an soláthraí, riarthóir córais cuideachta eile, nó pentester den sórt sin. Táim tostach faoin bhfíric gur féidir le go leor daoine trácht neamhchriptithe a idircheapadh.
In ainneoin an rathúlachta dealraitheach, níor thug sé seo níos gaire dúinn don sprioc. Bhí sé indéanta, ar ndóigh, suí ar feadh i bhfad agus faisnéis luachmhar a iascach, ach ní fíor go mbeadh sé le feiceáil ann, agus tá an-riosca ag baint leis an ionsaí féin ó thaobh sláine an ghréasáin de.
Tar éis tochailt eile isteach sna seirbhísí, tháinig smaoineamh suimiúil chun cuimhne. Tá a leithéid de áirgiúlacht ann ar a dtugtar Responder (is furasta samplaí úsáide a aimsiú leis an ainm seo), a spreagann, trí iarratais craolta a “nimhiú”, naisc trí phrótacail éagsúla mar SMB, HTTP, LDAP, etc. ar bhealaí éagsúla, ansin iarrann sí ar gach duine a nascann fíordheimhniú a dhéanamh agus socraíonn sé é ionas go dtarlaíonn fíordheimhniú trí NTLM agus ar mhodh trédhearcach don íospartach. Is minic a bhailíonn ionsaitheoir croitheadh láimhe NetNTLMv2 ar an mbealach seo agus uathu, ag baint úsáide as foclóir, déanann sé pasfhocail fearainn úsáideora a aisghabháil go tapa. Anseo bhí mé ag iarraidh rud éigin cosúil leis, ach shuigh na húsáideoirí "taobh thiar de bhalla", nó ina áit sin, bhí siad scartha le balla dóiteáin, agus fuair siad rochtain ar an WEB trí bhraisle seachfhreastalaí an Chóta Gorm.
Cuimhnigh, shonraigh mé go raibh an t-ainm fearainn Eolaire Gníomhach ag an am céanna leis an bhfearann “seachtrach”, is é sin, bhí sé company.ru? Mar sin, ligeann Windows, níos cruinne Internet Explorer (agus Edge agus Chrome), don úsáideoir fíordheimhniú trédhearcach a dhéanamh i HTTP trí NTLM má mheasann siad go bhfuil an suíomh suite i “Crios Inlín” éigin. Ceann de na comharthaí a bhaineann le “Inlíon” ná rochtain ar sheoladh IP “liath” nó ainm DNS gearr, is é sin, gan poncanna. Ós rud é go raibh freastalaí acu le hainm “bán” IP agus DNS preobrazhensky.company.ru, agus de ghnáth faigheann meaisíní fearainn iarmhír fearainn an Eolaire Gníomhach trí DHCP le haghaidh iontráil ainm simplithe, ní raibh orthu ach an URL a scríobh sa bharra seoltaí , ionas go n-aimseoidh siad an cosán ceart chuig freastalaí an urologist comhréiteach, gan dearmad a dhéanamh gur “Inlíon” a thugtar air seo anois. Is é sin, ag an am céanna croitheadh láimhe NTLM an úsáideora a thabhairt dom i ngan fhios dó. Níl fágtha ach iallach a chur ar bhrabhsálaithe cliaint smaoineamh ar an ngá práinneach le dul i dteagmháil leis an bhfreastalaí seo.
Tháinig an fóntais iontach Intercepter-NG chun an tarrthála (buíochas ). Thug sé deis duit trácht ar an eitilt a athrú agus d'oibrigh sé go hiontach ar Windows 2003. Bhí feidhmiúlacht ar leith aige fiú chun comhaid JavaScript amháin a mhodhnú sa sreabhadh tráchta. Bhí saghas Scriptithe Tras-Suíomh ollmhór beartaithe.
Déanann seachvótálaithe Cóta Gorm, trína bhfuair úsáideoirí rochtain ar an WEB domhanda, ábhar statach a thaisceadh go tréimhsiúil. Trí thrácht a idircheapadh, ba léir go raibh siad ag obair ar feadh an chloig, ag iarraidh gan stad gan staonadh a úsáidtear go minic chun taispeáint an ábhair a bhrostú le linn buaicuaireanta. Ina theannta sin, bhí Gníomhaire Úsáideora ar leith ag BlueCoat, a rinne idirdhealú soiléir ó úsáideoir fíor.
Ullmhaíodh Javascript, a cuireadh i bhfeidhm, ag baint úsáide as Intercepter-NG, ar feadh uair an chloig san oíche le haghaidh gach freagra le comhaid JS le haghaidh Cóta Gorm. Rinne an script mar a leanas:
- Shocraigh Úsáideoir-Agent an brabhsálaí reatha. Más Internet Explorer, Edge nó Chrome a bhí ann, lean sé ag obair.
- D'fhan mé go dtí gur foirmíodh DOM an leathanaigh.
- Ionsáigh sé íomhá dofheicthe isteach sa DOM le aitreabúid src den fhoirm :8080/NNNNNNNN.png, áit a bhfuil NNN uimhreacha treallach ionas nach ndéanann BlueCoat é a thaisceadh.
- Socraigh athróg bratach dhomhanda lena léiriú gur críochnaíodh an t-instealladh agus ní gá íomhánna a chur isteach a thuilleadh.
Rinne an brabhsálaí iarracht an íomhá seo a lódáil; ar phort 8080 den fhreastalaí comhréitigh, bhí tollán TCP ag fanacht leis chuig mo ríomhaire glúine, áit a raibh an Freagróir céanna ag rith, ag iarraidh ar an mbrabhsálaí logáil isteach trí NTLM.
Ag breithiúnas ó logaí an Fhreagróra, tháinig daoine ag obair ar maidin, chas siad ar a stáisiúin oibre, ansin thosaigh en masse agus gan aird ar cuairt ar fhreastalaí an urologist, gan dearmad a dhéanamh ar chroitheadh láimhe NTLM a “dhraenáil”. Bhí croitheadh láimhe ag cur báistí síos an lá ar fad agus carnaíodh ábhar go soiléir le haghaidh ionsaí ar éirigh go maith leis chun pasfhocail a aisghabháil. Seo an chuma a bhí ar logaí an Fhreagróra:
Cuairteanna rúnda mais ar an bhfreastalaí urologist ag úsáideoirí
Is dócha gur thug tú faoi deara cheana féin go bhfuil an scéal iomlán seo bunaithe ar an bprionsabal "bhí gach rud go breá, ach ansin bhí bummer ann, ansin bhí sárú ann, agus ansin d'éirigh le gach rud." Mar sin, bhí bummer anseo. As na caoga croitheadh láimhe uathúla, níor nochtadh ceann amháin. Agus cuireann sé seo san áireamh, fiú ar ríomhaire glúine le próiseálaí marbh, go ndéantar na croitheadh láimhe NTLMv2 seo a phróiseáil ar luas na gcéadta milliún iarracht in aghaidh an tsoicind.
Bhí orm teicníochtaí sóchán pasfhocail, cárta físeáin, foclóir níos tiús a úsáid agus fanacht. Tar éis i bhfad, nochtadh roinnt cuntas le pasfhocail den fhoirm “Q11111111….1111111q”, a thugann le tuiscint gur cuireadh iallach ar gach úsáideoir uair amháin teacht suas le pasfhocal an-fhada le carachtair éagsúla, a bhí ceaptha freisin. bheith casta. Ach ní féidir leat úsáideoir seasoned a amadán, agus seo mar a rinne sé níos éasca dó féin cuimhneamh. San iomlán, cuireadh thart ar 5 chuntas i gcontúirt, agus ní raibh cearta luachmhara ag duine amháin acu ar na seirbhísí.
Cuid 3. Buaileann Roskomnadzor ar ais
Mar sin, fuarthas na chéad chuntais fearainn. Mura bhfuil tú tar éis titim i do chodladh faoin bpointe seo ó léamh fada, is dócha go gcuimhneoidh tú gur luaigh mé seirbhís nach raibh gá leis an dara fachtóir fíordheimhnithe: is vicí é le fíordheimhniú NTLM. Ar ndóigh, ba é an chéad rud a bhí le déanamh dul isteach ann. Tháinig torthaí go tapa as tochailt isteach sa bhonn eolais inmheánach:
- Tá líonra wifi ag an gcuideachta le fíordheimhniú ag baint úsáide as cuntais fearainn le rochtain ar an líonra áitiúil. Leis an tacar sonraí atá ann faoi láthair, is veicteoir ionsaí oibre é seo cheana féin, ach ní mór duit dul chuig an oifig le do chosa agus a bheith suite áit éigin ar chríoch oifig an chustaiméara.
- Fuair mé treoir dá réir a raibh seirbhís ann a cheadaigh... feiste fíordheimhnithe “dara fachtóir” a chlárú go neamhspleách má tá an t-úsáideoir laistigh de líonra áitiúil agus go gcuimhneoidh sé go muiníneach ar a logáil isteach fearainn agus a phasfhocal. Sa chás seo, socraíodh “taobh istigh” agus “lasmuigh” de réir inrochtaineachta phort na seirbhíse seo don úsáideoir. Ní raibh an calafort inrochtana ón Idirlíon, ach bhí sé inrochtana go leor tríd an DMZ.
Ar ndóigh, cuireadh “dara fachtóir” láithreach leis an gcuntas comhréitigh i bhfoirm iarratais ar mo ghuthán. Bhí clár ann a d’fhéadfadh brú-iarratas a sheoladh chuig an bhfón os ard le cnaipí “faomhadh”/“dícheadú” don ghníomhaíocht, nó a d’fhéadfadh an cód OTP a thaispeáint go ciúin ar an scáileán le haghaidh iontrála neamhspleách eile. Thairis sin, bhí an chéad mhodh ceaptha leis na treoracha a bheith mar an t-aon cheann ceart, ach níor oibrigh sé, murab ionann agus an modh OTP.
Agus an “dara fachtóir” briste, bhí mé in ann rochtain a fháil ar phost Outlook Web Access agus cianrochtain i gCeata Citrix Netscaler. Bhí iontas sa phost in Outlook:
Sa lámhaigh annamh seo is féidir leat a fheiceáil conas a chuidíonn Roskomnadzor le pentesters
Ba iad seo na chéad mhíonna tar éis an bhlocáil cháiliúil “lucht leanúna” ar Telegram, nuair a d’imigh líonraí iomlána leis na mílte seoltaí as an rochtain. Ba léir cén fáth nár oibrigh an brú láithreach agus cén fáth nár sheinn m’íospartach an t-aláram mar gur thosaigh siad ag úsáid a cuntas le linn uaireanta oscailte.
Samhlaíonn duine ar bith atá eolach ar Citrix Netscaler go gcuirtear i bhfeidhm é de ghnáth sa chaoi is nach féidir ach comhéadan pictiúr a chur in iúl don úsáideoir, ag iarraidh gan na huirlisí a thabhairt dó chun feidhmchláir tríú páirtí a sheoladh agus sonraí a aistriú, ag srianadh ar gach bealach is féidir gníomhartha. trí sliogáin rialaithe caighdeánach. Ní bhfuair m'íospartach, mar gheall ar a shlí bheatha, ach 1C:
Tar éis siúl timpeall an chomhéadan 1C beagán, fuair mé amach go bhfuil modúil phróiseála seachtracha ann. Is féidir iad a luchtú ón gcomhéadan, agus déanfar iad a fhorghníomhú ar an gcliant nó ar an bhfreastalaí, ag brath ar na cearta agus na socruithe.
D'iarr mé ar mo chairde ríomhchláraitheoir 1C próiseáil a chruthú a ghlacfadh sreang agus é a fhorghníomhú. I dteanga 1C, tá rud éigin mar seo ag tosú ar phróiseas (tógtha ón Idirlíon). An aontaíonn tú go gcuireann comhréir na teanga 1C iontas ar dhaoine ina labhraítear Rúisis lena spontáineacht?
Cuireadh an phróiseáil i gcrích go foirfe; d'éirigh sé amach gurb é an rud a thugann pentesters "bhlaosc" - seoladh Internet Explorer tríd.
Níos luaithe, fuarthas sa phost seoladh córais a ligeann duit pasanna chuig an gcríoch a ordú. D’ordaigh mé pas ar eagla go mbeadh orm veicteoir ionsaithe wifi a úsáid.
Tá caint ar an Idirlíon go raibh lónadóireacht blasta saor in aisce fós ag oifig an chustaiméara, ach b’fhearr liom fós an t-ionsaí a fhorbairt go cianda, tá sé níos ciúine.
Cuireadh AppLocker i ngníomh ar an bhfreastalaí feidhmchláir a bhí ag rith Citrix, ach seachnaíodh é. Lódáladh agus seoladh an Méadaróir céanna trí DNS, ós rud é nach raibh na leaganacha http(s) ag iarraidh ceangal a dhéanamh, agus ní raibh an seoladh seachfhreastalaí inmheánach ar eolas agam ag an am sin. Dála an scéil, ón nóiméad seo ar aghaidh, d'iompaigh an pentest seachtrach go hiomlán isteach i gceann inmheánach.
Cuid 4. Tá cearta riaracháin d'úsáideoirí olc, ceart go leor?
Is é an chéad tasc atá ag pentester agus é ag fáil smacht ar sheisiún úsáideora fearainn ná gach faisnéis a bhailiú faoi chearta san fhearann. Tá áirgiúlacht BloodHound ann a ligeann duit go huathoibríoch faisnéis a íoslódáil faoi úsáideoirí, ríomhairí, grúpaí slándála tríd an bprótacal LDAP ó rialtóir fearainn, agus trí SMB - faisnéis faoin úsáideoir a logáil isteach le déanaí agus cé hé/hí an riarthóir áitiúil.
Tá cuma shimplithe ar theicníc tipiciúil chun cearta riarthóra fearainn a urghabháil mar thimthriall de ghníomhartha aondathacha:
- Téimid chuig ríomhairí fearainn ina bhfuil cearta riarthóirí áitiúla, bunaithe ar chuntais fearainn a gabhadh cheana féin.
- Seolaimid Mimikatz agus faighimid pasfhocail i dtaisce, ticéid Kerberos agus hashes de chuntais fearainn NTLM a logáil isteach sa chóras seo le déanaí. Nó bainimid an íomhá chuimhne den phróiseas lsass.exe agus déanaimid an rud céanna ar ár taobh. Oibríonn sé seo go maith le Windows níos óige ná 2012R2/Windows 8.1 le socruithe réamhshocraithe.
- Socraímid cá bhfuil cearta riarthóra áitiúla ag na cuntais chontúirte. Déanaimid an chéad phointe arís. Ag am éigin faightear cearta riarthóra don fhearann iomlán.
“Deireadh na Rothaíochta;”, mar a scríobhfadh ríomhchláraitheoirí 1C anseo.
Mar sin, d'éirigh ár n-úsáideoir amach a bheith ina riarthóir áitiúil ar óstach amháin le Windows 7, lena n-áirítear an focal “VDI”, nó “Bonneagar Deisce Fíorúil”, meaisíní fíorúla pearsanta. Is dócha gur chiallaigh dearthóir na seirbhíse VDI, ós rud é gurb é VDI córas oibriúcháin pearsanta an úsáideora, fiú má athraíonn an t-úsáideoir an timpeallacht bogearraí mar is toil leis, is féidir an t-óstach a “athlódáil” fós. Shíl mé freisin go raibh an smaoineamh go maith go ginearálta, chuaigh mé chuig an óstach VDI pearsanta seo agus rinne mé nead ann:
- Suiteáil mé cliant OpenVPN ann, a rinne tollán tríd an Idirlíon chuig mo fhreastalaí. B’éigean don chliant dul tríd an gCóta Gorm céanna le fíordheimhniú fearainn, ach rinne OpenVPN é, mar a deir siad, “as an mbosca.”
- Suiteáilte OpenSSH ar VDI. Bhuel, i ndáiríre, cad é Windows 7 gan SSH?
Is é seo an chuma a bhí air beo. Lig dom a mheabhrú duit nach mór é seo ar fad a dhéanamh trí Citrix agus 1C:
Teicníc amháin chun rochtain ar ríomhairí in aice láimhe a chur chun cinn ná pasfhocail riarthóirí áitiúla a sheiceáil le haghaidh cluiche. Bhí an t-ádh anseo láithreach ag fanacht: chuathas i dteagmháil le hash NTLM an riarthóra áitiúil réamhshocraithe (ar tugadh an Riarthóir air go tobann) trí ionsaí pas-an-hash ar óstach VDI comharsanachta, a raibh na céadta acu ann. Ar ndóigh, bhuail an t-ionsaí láithreach iad.
Seo nuair a scaoil riarthóirí VDI iad féin sa chos faoi dhó:
- Ba é an chéad uair nár tugadh meaisíní VDI faoi LAPS, rud a choinnigh go bunúsach an pasfhocal riarthóra áitiúil céanna ón íomhá a imlonnaíodh go ollmhór chuig VDI.
- Is é an riarthóir réamhshocraithe an t-aon chuntas áitiúil atá i mbaol ionsaithe pas-an-hash. Fiú amháin leis an bhfocal faire céanna, d’fhéadfaí comhréiteach mais a sheachaint ach an dara cuntas riarthóra áitiúil a chruthú le pasfhocal casta randamach agus bac a chur ar an gceann réamhshocraithe.
Cén fáth an tseirbhís SSH ar an Windows sin? An-simplí: anois ní hamháin gur sholáthair freastalaí OpenSSH blaosc ordú idirghníomhach áisiúil gan cur isteach ar obair an úsáideora, ach freisin seachfhreastalaí socks5 ar VDI. Tríd an stocaí seo, cheangail mé trí SMB agus bhailigh mé cuntais i dtaisce ó na céadta meaisín VDI seo go léir, ansin d'fhéach mé le haghaidh an chosáin chuig an riarthóir fearainn agus iad á n-úsáid sna graif BloodHound. Leis na céadta óstach ar fáil dom, fuair mé an bealach seo go tapa go leor. Tá cearta riarthóir fearainn faighte.
Seo pictiúr ón Idirlíon a thaispeánann cuardach comhchosúil. Léiríonn naisc cé hé an áit a bhfuil an riarthóir agus cé atá logáilte isteach cén áit.
Dála an scéil, cuimhnigh ar an gcoinníoll ó thús an tionscadail - "ná húsáid innealtóireacht shóisialta." Mar sin, tá sé beartaithe agam smaoineamh ar cé mhéad a ghearradh ar an Bollywood seo le héifeachtaí speisialta dá mbeadh sé fós indéanta fioscaireacht banal a úsáid. Ach go pearsanta, bhí sé an-suimiúil dom é seo go léir a dhéanamh. Tá súil agam gur bhain tú taitneamh as é seo a léamh. Ar ndóigh, níl cuma chomh suimiúil ar gach tionscadal, ach tá an obair ina iomláine an-dúshlánach agus ní ligeann sé dó éirí marbhántach.
Is dócha go mbeidh ceist ag duine: conas tú féin a chosaint? Déanann fiú an t-alt seo cur síos ar go leor teicnící, nach bhfuil go leor acu ar eolas ag riarthóirí Windows fiú. Mar sin féin, tá sé beartaithe agam breathnú orthu ó thaobh prionsabail hacnaí agus bearta slándála faisnéise de:
- ná húsáid bogearraí as dáta (cuimhnigh Windows 2003 ar dtús?)
- ná coinnigh córais neamhriachtanacha ar siúl (cén fáth a raibh suíomh Gréasáin úireolaí ann?)
- seiceáil pasfhocail úsáideora le haghaidh neart duit féin (ar shlí eile, déanfaidh saighdiúirí... pentesters é seo)
- níl na pasfhocail céanna agat le haghaidh cuntais éagsúla (comhréiteach VDI)
- agus eile
Ar ndóigh, tá sé seo an-deacair a chur i bhfeidhm, ach sa chéad alt eile taispeánfaimid go praiticiúil go bhfuil sé indéanta go leor.
Foinse: will.com