Os atrasos na sinatura son habituais para calquera gran empresa. O acordo entre Tom Hunter e unha cadea de tendas de animais para un pentesting completo non foi unha excepción. Tivemos que revisar o sitio web, a rede interna e mesmo a wifi funcionando.
Non é de estrañar que me pican as mans mesmo antes de resolver todos os trámites. Ben, escanee o sitio por se acaso, é pouco probable que unha tenda tan coñecida como "The Hound of the Baskervilles" cometa erros aquí. Un par de días despois, Tom finalmente entregou o contrato orixinal asinado; neste momento, durante a terceira cunca de café, Tom do CMS interno avaliou con interese o estado dos almacéns...
Fonte:
Pero non foi posible xestionar moito no CMS: os administradores do sitio prohibiron a IP de Tom Hunter. Aínda que sería posible ter tempo para xerar bonos na tarxeta da tenda e alimentar ao teu amado gato a prezos económicos durante moitos meses... "Esta vez non, Darth Sidious", pensou Tom cun sorriso. Non sería menos interesante pasar da área do sitio web á rede local do cliente, pero ao parecer estes segmentos non están conectados para o cliente. Aínda así, isto ocorre con máis frecuencia en empresas moi grandes.
Despois de todos os trámites, Tom Hunter armouse coa conta VPN proporcionada e dirixiuse á rede local do cliente. A conta estaba dentro do dominio de Active Directory, polo que era posible volcar AD sen ningún truco especial, eliminando toda a información dispoñible publicamente sobre usuarios e máquinas que funcionan.
Tom lanzou a utilidade adfind e comezou a enviar solicitudes LDAP ao controlador de dominio. Cun filtro na clase objectСategory, especificando persoa como atributo. A resposta volveu coa seguinte estrutura:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZAdemais disto, había moita información útil, pero a máis interesante estaba no campo >descrición: >descrición. Este é un comentario sobre unha conta, basicamente un lugar cómodo para gardar notas menores. Pero os administradores do cliente decidiron que os contrasinais tamén podían estar alí en silencio. A quen, despois de todo, lle poderían interesar todos estes rexistros oficiais insignificantes? Entón, os comentarios que recibiu Tom foron:
Создал Администратор, 2018.11.16 7po!*VqnNon é necesario ser un científico de foguetes para entender por que a combinación ao final é útil. Só restaba analizar o ficheiro de resposta grande do CD usando o campo >description: e aquí estaban: 20 pares de inicio de sesión-contrasinal. Ademais, case a metade ten dereitos de acceso RDP. Non é mala cabeza de ponte, tempo de dividir as forzas atacantes.
rede
Os accesibles bailes de Hounds of the Baskerville recordaban a unha gran cidade en todo o seu caos e imprevisibilidade. Con perfís de usuario e RDP, Tom Hunter era un neno quebrado nesta cidade, pero ata el logrou ver moitas cousas a través das brillantes fiestras da política de seguridade.
As partes dos servidores de ficheiros, as contas de contabilidade e mesmo os scripts asociados con eles fixéronse públicas. Na configuración dun destes scripts, Tom atopou o hash MS SQL dun usuario. Un pouco de maxia de forza bruta e o hash do usuario converteuse nun contrasinal de texto simple. Grazas a John The Ripper e Hashcat.
Esta chave debería caber algún cofre. Atopouse o cofre e, ademais, asociáronse a el dez "cofres" máis. E dentro dos seis laicos... dereitos de superusuario, nt sistema de autoridade! En dous deles puidemos executar o procedemento almacenado xp_cmdshell e enviar comandos cmd a Windows. Que máis podes querer?
Controladores de dominio
Tom Hunter preparou o segundo golpe para os controladores de dominio. Había tres deles na rede "Dogs of the Baskervilles", segundo o número de servidores xeograficamente remotos. Cada controlador de dominio ten un cartafol público, como unha vitrina aberta nunha tenda, preto da cal pasa o rato o mesmo pobre Tom.
E esta vez o tipo tivo sorte de novo: esquecéronse de eliminar o script da vitrina, onde se codificaba o contrasinal do administrador do servidor local. Polo tanto, o camiño ao controlador de dominio estaba aberto. Entra, Tom!
Aquí do sombreiro máxico tirouse , que se beneficiou de varios administradores de dominios. Tom Hunter accedeu a todas as máquinas da rede local e as risas diabólicas asustaron ao gato desde a seguinte cadeira. Esta ruta foi máis curta do esperado.
EternalBlue
O recordo de WannaCry e Petya segue vivo na mente dos pentesters, pero algúns administradores parecen esquecerse do ransomware no fluxo doutras noticias nocturnas. Tom descubriu tres nodos cunha vulnerabilidade no protocolo SMB: CVE-2017-0144 ou EternalBlue. Esta é a mesma vulnerabilidade que se utilizou para distribuír o ransomware WannaCry e Petya, unha vulnerabilidade que permite executar código arbitrario nun host. Nun dos nodos vulnerables había unha sesión de administración de dominio: "explot and get it". Que podes facer, o tempo non ensinou a todos.
"O can de Basterville"
Aos clásicos da seguridade da información gústalle repetir que o punto máis débil de calquera sistema é a persoa. Tes conta de que o título anterior non coincide co nome da tenda? Quizais non todos estean tan atentos.
Nas mellores tradicións de éxitos de phishing, Tom Hunter rexistrou un dominio que difiere nunha letra do dominio "Hounds of the Baskervilles". O enderezo de correo deste dominio imitaba o enderezo do servizo de seguridade da información da tenda. Ao longo de 4 días de 16:00 a 17:00, enviouse a seguinte carta de xeito uniforme a 360 enderezos desde un enderezo falso:
Quizais, só a súa propia preguiza salvou aos empregados da fuga masiva de contrasinais. De 360 cartas, só se abriron 61: o servizo de seguridade non é moi popular. Pero entón foi máis doado.
Páxina de phishing
46 persoas fixeron clic na ligazón e case a metade -21 empregados- non miraron a barra de enderezos e introduciron con calma os seus inicios de sesión e contrasinais. Boa captura, Tom.
Rede Wi-Fi
Agora non había que contar coa axuda do gato. Tom Hunter tirou varias pezas de ferro no seu vello sedán e foi á oficina do Sabueso dos Baskerville. Non se acordou a súa visita: Tom ía probar a wifi do cliente. No aparcadoiro do centro de negocios había varias prazas libres que estaban convenientemente incluídas no perímetro da rede obxectivo. Ao parecer, non pensaron moito na súa limitación, como se os administradores estivesen a buscar puntos adicionais ao azar en resposta a calquera queixa sobre unha wifi débil.
Como funciona a seguridade WPA/WPA2 PSK? O cifrado entre o punto de acceso e os clientes é proporcionado por unha clave previa á sesión - Pairwise Transient Key (PTK). PTK usa a chave precompartida e outros cinco parámetros: SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), punto de acceso e enderezos MAC do cliente. Tom interceptou os cinco parámetros e agora só faltaba a chave precompartida.
A utilidade Hashcat descargou esta ligazón que faltaba nuns 50 minutos e o noso heroe acabou na rede de convidados. Desde el xa se podía ver o que funcionaba; curiosamente, aquí Tom conseguiu o contrasinal nuns nove minutos. E todo isto sen saír do aparcamento, sen ningunha VPN. A rede de traballo abriu un espazo para actividades monstruosas para o noso heroe, pero el... nunca engadiu bonos á tarxeta da tenda.
Tom fixo unha pausa, mirou o seu reloxo, botou un par de billetes sobre a mesa e, despediuse, saíu da cafetería. Quizais sexa un pentest de novo, ou quizais estea dentro Pensei en escribir...
Fonte: www.habr.com