Kab lus no tau sau los ntawm kev ua tiav zoo heev uas cov kws tshaj lij pab pawg-IB tau ua ob peb xyoos dhau los: ib zaj dab neeg tshwm sim uas tuaj yeem hloov kho rau zaj duab xis hauv Bollywood. Tam sim no, tej zaum, tus nyeem ntawv cov lus teb yuav ua raws li: "Huag, lwm tsab xov xwm PR, dua cov no tau raug nthuav tawm, lawv zoo npaum li cas, tsis txhob hnov ββββqab yuav lub pentest." Zoo, ntawm ib sab, nws yog. Txawm li cas los xij, muaj ntau qhov laj thawj vim li cas tsab xov xwm no tshwm sim. Kuv xav qhia seb cov pentesters ua li cas, nthuav thiab tsis tseem ceeb npaum li cas qhov haujlwm no tuaj yeem ua tau, qhov xwm txheej lom zem twg tuaj yeem tshwm sim hauv cov haujlwm, thiab qhov tseem ceeb tshaj, qhia cov khoom nyob nrog cov piv txwv tiag.
Txhawm rau kho qhov sib npaug ntawm kev coj ncaj ncees hauv lub ntiaj teb, tom qab ib ntus peb yuav sau txog qhov kev txiav txim siab uas tsis mus zoo. Peb yuav qhia tias cov txheej txheem tsim tau zoo hauv lub tuam txhab tuaj yeem tiv thaiv tag nrho cov kev tawm tsam, txawm tias npaj tau zoo, tsuas yog vim tias cov txheej txheem no muaj nyob thiab ua haujlwm tau zoo.
Rau cov neeg siv khoom nyob rau hauv tsab xov xwm no, txhua yam kuj yog feem ntau zoo heev, yam tsawg kawg yog zoo dua 95% ntawm kev ua lag luam nyob rau hauv Lavxias teb sab Federation, raws li peb txoj kev xav, tab sis muaj ib tug xov tooj ntawm me me nuances uas tsim ib tug ntev saw ntawm cov txheej xwm, uas ua ntej. coj mus rau ib daim ntawv qhia ntev txog kev ua haujlwm, thiab tom qab ntawd mus rau kab lus no.
Yog li, cia peb khaws cov paj kws, thiab txais tos rau zaj dab neeg tshawb nrhiav. Lo lus - Pavel Suprunyuk, technical manager of the βAudit and Consultingβ department of Group-IB.
Ntu 1. Pochkin kws kho mob
2018 Muaj cov neeg siv khoom - lub tuam txhab IT high-tech, uas nws tus kheej ua haujlwm rau ntau tus neeg siv khoom. Xav tau cov lus teb rau lo lus nug: puas muaj peev xwm, tsis muaj kev paub pib thiab nkag mus, ua haujlwm hauv Is Taws Nem, kom tau txais Active Directory domain tus thawj tswj txoj cai? Kuv tsis txaus siab rau ib qho social engineering (), lawv tsis npaj siab yuav cuam tshuam nrog kev ua haujlwm ntawm lub hom phiaj, tab sis lawv yuav ua yuam kev - rov ua haujlwm tsis zoo ntawm server, piv txwv li. Ib lub hom phiaj ntxiv yog txhawm rau txheeb xyuas ntau li ntau lwm yam kev tawm tsam vectors raws li qhov ua tau tawm tsam sab nraud. Lub tuam txhab tsis tu ncua ua cov kev sim no, thiab tam sim no lub sijhawm kawg rau kev sim tshiab tau los txog. Cov xwm txheej yuav luag raug, tsim nyog, nkag siab. Cia peb pib.
Muaj lub npe ntawm cov neeg siv khoom - cia nws yog "Company", nrog rau lub vev xaib tseem ceeb . Ntawm chav kawm, tus neeg siv khoom hu ua txawv, tab sis hauv kab lus no txhua yam yuav tsis yog tus kheej.
Kuv ua kev tshawb nrhiav network - nrhiav seb qhov chaw nyob twg thiab cov npe tau sau npe nrog tus neeg siv khoom, kos duab kos duab, cov kev pabcuam raug faib rau cov chaw nyob li cas. Kuv tau txais qhov tshwm sim: ntau dua 4000 qhov chaw nyob IP. Kuv saib cov npe hauv cov tes hauj lwm no: hmoov zoo, feem coob yog cov tes hauj lwm npaj rau cov neeg siv khoom, thiab peb tsis nyiam lawv. Cov neeg siv khoom xav ib yam.
Tseem muaj ib lub network nrog 256 chaw nyob, uas los ntawm lub sijhawm tam sim no twb muaj kev nkag siab txog kev faib cov npe thiab subdomains los ntawm IP chaw nyob, muaj cov ntaub ntawv hais txog cov chaw nres nkoj scanned, uas txhais tau tias koj tuaj yeem saib cov kev pabcuam rau cov neeg nyiam. Nyob rau tib lub sijhawm, txhua hom scanners tau tsim tawm ntawm IP chaw nyob thiab cais ntawm cov vev xaib.
Muaj ntau qhov kev pabcuam. Feem ntau qhov no yog kev xyiv fab rau lub pentester thiab kev cia siab ntawm kev yeej ceev, txij li cov kev pabcuam ntau dua, qhov loj dua rau kev tawm tsam thiab qhov yooj yim dua yog nrhiav cov khoom cuav. Kev saib sai ntawm cov vev xaib tau pom tias feem ntau ntawm lawv yog cov vev xaib cuam tshuam ntawm cov khoom lag luam paub zoo ntawm cov tuam txhab loj thoob ntiaj teb, uas los ntawm txhua qhov tshwm sim qhia rau koj tias lawv tsis txais tos. Lawv nug rau tus neeg siv lub npe thiab tus password, co tawm lub teb kom nkag mus rau qhov thib ob, nug rau TLS tus neeg siv daim ntawv pov thawj, lossis xa mus rau Microsoft ADFS. Qee qhov tsuas yog nkag tsis tau los ntawm Is Taws Nem. Rau qee qhov, koj pom tseeb yuav tsum muaj tus neeg siv nyiaj tshwj xeeb rau peb cov nyiaj hli lossis paub qhov tseeb URL nkag. Cia peb hla lwm lub lim tiam ntawm maj mam poob siab nyob rau hauv tus txheej txheem ntawm kev sim "tawg dhau" software versions rau paub qhov tsis zoo, tshawb nrhiav cov ntsiab lus zais hauv lub vev xaib thiab cov nyiaj tso tawm los ntawm cov kev pabcuam thib peb xws li LinkedIn, sim twv tus password siv lawv, thiab. raws li excavating vulnerabilities nyob rau hauv nws tus kheej-sau websites - los ntawm txoj kev, raws li kev txheeb cais, qhov no yog lub feem ntau pheej vector ntawm sab nraud nres hnub no. Kuv mam li nco dheev daim yeeb yaj kiab phom uas tom qab raug rho tawm haujlwm.
Yog li, peb pom ob qhov chaw uas sawv tawm ntawm ntau pua cov kev pabcuam. Cov vev xaib no muaj ib yam zoo sib xws: yog tias koj tsis koom nrog kev tshawb nrhiav kev sib raug zoo los ntawm kev sau npe, tab sis saib lub taub hau rau qhib cov chaw nres nkoj lossis lub hom phiaj ntawm qhov tsis zoo scanner siv tus paub IP ntau, ces cov chaw no yuav khiav tawm scanning thiab yuav tsis yooj yim. pom yam tsis paub lub npe DNS. Tej zaum lawv tau plam ua ntej, tsawg kawg, thiab peb cov cuab yeej tsis siv neeg tsis pom muaj teeb meem nrog lawv, txawm tias lawv raug xa ncaj qha mus rau cov peev txheej.
Los ntawm txoj kev, txog dab tsi yav tas los launched scanners pom nyob rau hauv dav dav. Cia kuv ceeb toom rau koj: rau qee tus neeg, "pentest" yog sib npaug rau "automated scan". Tab sis cov scanners ntawm qhov project no tsis muaj dab tsi. Zoo, qhov siab tshaj plaws tau pom los ntawm Nruab Nrab vulnerabilities (3 tawm ntawm 5 nyob rau hauv cov nqe lus ntawm qhov hnyav): ntawm ib co kev pab cuam ib tug phem TLS daim ntawv pov thawj los yog outdated encryption algorithms, thiab nyob rau hauv feem ntau qhov chaw Clickjacking. Tab sis qhov no yuav tsis coj koj mus rau koj lub hom phiaj. Tej zaum cov scanners yuav muaj txiaj ntsig zoo ntawm no, tab sis cia kuv ceeb toom rau koj: tus neeg siv khoom nws tus kheej muaj peev xwm yuav cov kev pab cuam thiab sim nws tus kheej nrog lawv, thiab, txiav txim siab los ntawm cov txiaj ntsig tsis txaus ntseeg, nws tau kuaj xyuas lawm.
Cia peb rov qab mus rau qhov chaw "anomalous". Thawj yog ib yam dab tsi zoo li Wiki hauv zos ntawm qhov chaw nyob tsis yog tus qauv, tab sis hauv tsab xov xwm no cia nws ua wiki.company [.]ru. Nws kuj tam sim ntawd nug tus ID nkag mus thiab lo lus zais, tab sis dhau ntawm NTLM hauv browser. Rau tus neeg siv, qhov no zoo li lub qhov rais ascetic nug kom nkag mus rau tus neeg siv lub npe thiab tus password. Thiab qhov no yog kev coj tsis zoo.
Ib daim ntawv me me. NTLM hauv ib cheeb tsam cov vev xaib tsis zoo rau ntau yam. Thawj qhov laj thawj yog tias Active Directory sau npe tau tshwm sim. Hauv peb qhov piv txwv, nws kuj tau los ua company.ru, ib yam li "sab nraud" DNS npe. Paub txog qhov no, koj tuaj yeem ua tib zoo npaj qee yam tsis zoo kom nws raug tua tsuas yog hauv lub koom haum lub tshuab sau npe, thiab tsis nyob hauv qee qhov sandbox. Qhov thib ob, kev lees paub ncaj qha mus ncaj qha los ntawm tus tswj hwm sau npe ntawm NTLM (xav tsis thoob, txoj cai?), nrog rau tag nrho cov yam ntxwv ntawm "sab hauv" network cov cai, suav nrog kev thaiv cov nyiaj los ntawm ntau tshaj tus lej nkag nkag. Yog tias tus neeg tawm tsam pom qhov nkag mus, nws yuav tshawb nrhiav cov password rau lawv. Yog tias koj raug teeb tsa los thaiv cov nyiaj los ntawm kev nkag mus tsis raug tus password, nws yuav ua haujlwm thiab tus account yuav raug thaiv. Thib peb, nws tsis tuaj yeem ntxiv qhov thib ob rau qhov kev lees paub zoo li no. Yog hais tias ib tug ntawm cov nyeem tseem paub yuav ua li cas, thov qhia rau kuv paub, nws yog heev nthuav. Plaub, qhov tsis muaj peev xwm hla dhau-tus-hash tawm tsam. ADFS tau tsim, ntawm lwm yam, los tiv thaiv txhua qhov no.
Muaj ib qho khoom tsis zoo ntawm Microsoft cov khoom: txawm tias koj tsis tau tshaj tawm xws li NTLM, nws yuav raug teeb tsa los ntawm lub neej ntawd hauv OWA thiab Lync, tsawg kawg.
Los ntawm txoj kev, tus sau ntawm tsab xov xwm no ib zaug yuam kev thaiv kwv yees li 1000 tus account ntawm cov neeg ua haujlwm ntawm ib lub txhab nyiaj loj hauv ib teev siv tib txoj kev thiab tom qab ntawd saib me ntsis daj ntseg. Lub txhab nyiaj cov kev pabcuam IT kuj tseem daj ntseg, tab sis txhua yam tau ua tiav zoo thiab txaus, peb txawm tau txais kev qhuas tias yog thawj tus pom qhov teeb meem no thiab ua rau muaj kev kho sai thiab txiav txim siab.
Lub vev xaib thib ob muaj qhov chaw nyob "pom tseeb qee yam ntawm lub xeem lub npe.company.ru." Pom nws hauv Google, qee yam zoo li no ntawm nplooj 10. Tus tsim yog los ntawm thaum ntxov-nrab xyoo XNUMXs, thiab ib tug neeg hwm tau saib nws los ntawm nplooj ntawv tseem ceeb, ib yam dab tsi zoo li no:
Ntawm no kuv coj ib tug tseem los ntawm "Lub plawv ntawm ib tug dev", tab sis ntseeg kuv, nws yog vaguely zoo sib xws, txawm lub xim tsim nyob rau hauv cov suab zoo sib xws. Cia lub site hu preobrazhensky.company.ru.
Nws yog tus kheej lub vev xaib ... rau urologist. Kuv xav tsis thoob tias lub vev xaib urologist tau ua dab tsi ntawm subdomain ntawm lub tuam txhab high-tech. Kev khawb nrawm rau hauv Google tau pom tias tus kws kho mob no yog tus tsim ntawm ib qho ntawm peb cov neeg siv khoom raug cai thiab tseem tau pab nyiaj txog 1000 rubles hauv cov peev txheej tau tso cai. Lub vev xaib tau tsim ntau xyoo dhau los, thiab cov neeg siv khoom siv tau siv los ua hosting. Lub vev xaib tau poob nws qhov cuam tshuam ntev, tab sis vim qee qhov nws tau tso tseg ua haujlwm ntev.
Hais txog qhov tsis zoo, lub vev xaib nws tus kheej tau ruaj ntseg. Saib tom ntej, kuv yuav hais tias nws yog ib txheej ntawm cov ntaub ntawv zoo li qub - cov nplooj ntawv html yooj yim nrog cov duab kos tso rau hauv daim ntawv ntawm lub raum thiab zais zis. Nws tsis muaj txiaj ntsig rau "tawg" xws li lub xaib.
Tab sis lub web server hauv qab tau nthuav ntau dua. Kev txiav txim los ntawm HTTP Server header, nws muaj IIS 6.0, uas txhais tau tias nws siv Windows 2003 ua qhov kev ua haujlwm. Lub scanner yav dhau los tau txheeb xyuas tias qhov tshwj xeeb urologist lub vev xaib no, tsis zoo li lwm tus virtual hosts ntawm tib lub vev xaib server, teb rau PROPFIND cov lus txib, txhais tau tias nws tau khiav WebDAV. Los ntawm txoj kev, lub scanner xa rov qab cov ntaub ntawv no nrog lub cim Info (hauv hom lus ntawm scanner qhia, qhov no yog qhov txaus ntshai tshaj plaws) - tej yam no feem ntau tsuas yog hla. Hauv kev sib xyaw ua ke, qhov no tau ua rau muaj txiaj ntsig zoo, uas tau tshwm sim tsuas yog tom qab lwm qhov khawb hauv Google: qhov tsis tshua muaj qhov cuam tshuam tsis zoo cuam tshuam nrog Cov Duab Ntxoo Brokers teeb tsa, uas yog CVE-2017-7269, uas twb muaj kev npaj ua haujlwm. Hauv lwm lo lus, yuav muaj teeb meem yog tias koj muaj Windows 2003 thiab WebDAV tab tom khiav ntawm IIS. Txawm hais tias khiav Windows 2003 hauv kev tsim khoom hauv 2018 yog ib qho teeb meem hauv nws tus kheej.
Kev siv dag zog tau xaus rau hauv Metasploit thiab tau sim tam sim nrog kev thauj khoom uas xa DNS thov rau cov kev pabcuam tswj - Burp Collaborator yog ib txwm siv los ntes DNS thov. Ua rau kuv xav tsis thoob, nws ua haujlwm thawj zaug: DNS knockout tau txais. Tom ntej no, muaj kev sim los tsim ib qho kev sib txuas rov qab ntawm qhov chaw nres nkoj 80 (uas yog, kev sib txuas hauv network los ntawm lub server mus rau tus neeg tawm tsam, nrog rau kev nkag mus rau cmd.exe ntawm tus neeg raug tsim txom host), tab sis tom qab ntawd muaj fiasco tshwm sim. Kev sib txuas tsis tau dhau los, thiab tom qab peb sim siv lub xaib, nrog rau tag nrho cov duab nthuav, ploj mus ib txhis.
Feem ntau qhov no yog ua raws li tsab ntawv hauv cov qauv ntawm "cov neeg siv khoom, sawv, peb poob txhua yam." Tab sis peb tau hais tias lub xaib tsis muaj dab tsi cuam tshuam nrog cov txheej txheem kev lag luam thiab ua haujlwm nyob rau ntawd tsis muaj laj thawj dab tsi, zoo li tag nrho cov server, thiab peb tuaj yeem siv cov peev txheej no raws li peb thov.
Txog ib hnub tom qab lub xaib tau pib ua haujlwm ntawm nws tus kheej. Tau tsim lub rooj ntev zaum los ntawm WebDAV ntawm IIS 6.0, Kuv pom tias qhov chaw pib yog rov pib dua IIS tus neeg ua haujlwm txhua 30 teev. Ntawd yog, thaum tswj tau tawm ntawm shellcode, cov txheej txheem IIS tus neeg ua haujlwm xaus, tom qab ntawd nws rov pib nws tus kheej ob peb zaug thiab tom qab ntawd mus so rau 30 teev.
Txij li thaum lub backconnect rau tcp ua tsis tau tejyam thawj zaug, kuv ntaus nqi qhov teeb meem no rau ib tug kaw chaw nres nkoj. Ntawd yog, nws tau xav tias muaj qee yam firewall uas tsis tso cai rau kev sib txuas mus rau sab nraud. Kuv pib khiav shellcodes uas tshawb nrhiav los ntawm ntau qhov chaw tcp thiab udp, tsis muaj txiaj ntsig. Rov qab kev twb kev txuas loads ntawm http(s) los ntawm Metasploit tsis ua hauj lwm - meterpreter/reverse_http(s). Dheev, kev sib txuas rau tib qhov chaw nres nkoj 80 tau tsim, tab sis tam sim ntawd poob. Kuv ntaus nqi qhov no rau qhov kev txiav txim ntawm qhov tseem xav txog IPS, uas tsis nyiam lub meterpreter tsheb. Nyob rau hauv lub teeb ntawm qhov tseeb hais tias ib tug ntshiab tcp kev twb kev txuas mus rau qhov chaw nres nkoj 80 tsis mus, tab sis ib tug http kev twb kev txuas tau ua, kuv txiav txim siab hais tias ib tug http proxy yog cas configured nyob rau hauv lub system.
Kuv txawm sim meterpreter ntawm DNS (ua tsaug rau koj qhov kev siv zog, tau txais kev cawmdim ntau qhov haujlwm), nco txog qhov ua tiav thawj zaug, tab sis nws tseem tsis tau ua haujlwm ntawm qhov chaw muag khoom - lub plhaub code yog qhov muaj zog heev rau qhov tsis zoo no.
Hauv kev muaj tiag, nws zoo li no: 3-4 sim tawm tsam hauv 5 feeb, tom qab ntawd tos 30 teev. Thiab yog li ntawd rau peb lub lis piam ua ke. Kuv txawm teem ib tug ceeb toom kom tsis txhob nkim sij hawm. Tsis tas li ntawd, muaj qhov sib txawv ntawm tus cwj pwm ntawm qhov kev sim thiab qhov chaw tsim khoom: rau qhov tsis zoo no muaj ob qhov kev siv zoo sib xws, ib qho los ntawm Metasploit, qhov thib ob los ntawm Is Taws Nem, hloov los ntawm Duab Ntxoo Brokers version. Yog li, tsuas yog Metasploit tau sim hauv kev sib ntaus sib tua, thiab tsuas yog qhov thib ob tau sim ntawm lub rooj ntev zaum, uas ua rau kev debugging nyuaj dua thiab ua rau lub hlwb busting.
Thaum kawg, lub plhaub code uas rub tawm cov ntaub ntawv exe los ntawm ib tus neeg rau zaub mov muab los ntawm http thiab tso tawm rau ntawm lub hom phiaj ua pov thawj ua tau zoo. Lub shellcode yog me me kom haum, tab sis tsawg kawg nws ua haujlwm. Txij li thaum tus neeg rau zaub mov tsis nyiam TCP kev khiav tsheb txhua lub sijhawm thiab http(s) tau tshuaj xyuas rau qhov muaj meterpreter, kuv txiav txim siab tias txoj kev ceev tshaj plaws yog rub tawm cov ntaub ntawv exe uas muaj DNS-meterpreter los ntawm lub plhaub no.
Ntawm no dua ib qho teeb meem tshwm sim: thaum rub tawm cov ntaub ntawv exe thiab, raws li kev sim pom, tsis hais qhov twg, qhov rub tawm tau cuam tshuam. Ib zaug ntxiv, qee qhov kev ruaj ntseg ntawm kuv tus neeg rau zaub mov thiab tus kws kho mob urologist tsis nyiam http kev khiav tsheb nrog exe hauv. Qhov kev daws teeb meem "ceev" zoo li yuav hloov lub shellcode kom nws yuav ua rau tsis muaj kev cuam tshuam http tsheb khiav, kom paub daws teeb binary cov ntaub ntawv yuav raug xa mus es tsis txhob exe. Thaum kawg, qhov kev tawm tsam tau ua tiav, kev tswj hwm tau txais los ntawm nyias DNS channel:
Nws tam sim ntawd tau paub meej tias kuv muaj txoj cai IIS cov haujlwm yooj yim tshaj plaws, uas tso cai rau kuv ua dab tsi. Nov yog qhov nws zoo li ntawm Metasploit console:
Tag nrho cov txheej txheem pentest qhia tau hais tias koj yuav tsum tau nce txoj cai thaum nkag mus. Kuv feem ntau tsis ua qhov no hauv zos, txij li thawj zaug nkag tau pom tsuas yog qhov chaw nkag hauv lub network, thiab cuam tshuam lwm lub tshuab ntawm tib lub network feem ntau yog yooj yim dua thiab nrawm dua li qhov tsim nyog ntawm tus tswv tsev uas twb muaj lawm. Tab sis qhov no tsis yog qhov teeb meem ntawm no, txij li DNS channel yog nqaim heev thiab nws yuav tsis tso cai rau kev khiav mus los.
Piv txwv tias qhov Windows 2003 server no tsis tau kho rau lub npe nrov MS17-010 qhov tsis zoo, Kuv qhov kev khiav mus rau qhov chaw nres nkoj 445 / TCP los ntawm meterpreter DNS qhov ntawm localhost (yog, qhov no kuj tseem ua tau) thiab sim khiav cov exe yav dhau los rub tawm los ntawm qhov yooj yim. Kev tawm tsam ua haujlwm, Kuv tau txais kev sib txuas thib ob, tab sis nrog SYSTEM txoj cai.
Nws yog qhov nthuav tias lawv tseem sim tiv thaiv tus neeg rau zaub mov los ntawm MS17-010 - nws muaj cov kev pabcuam hauv lub network uas tsis muaj kev cuam tshuam rau sab nraud interface. Qhov no tiv thaiv kev tawm tsam ntawm lub network, tab sis qhov kev tawm tsam los ntawm sab hauv ntawm localhost ua haujlwm, vim tias koj tsis tuaj yeem tua SMB sai ntawm localhost.
Tom ntej no, cov ntsiab lus nthuav dav tshiab tau nthuav tawm:
- Muaj txoj cai SYSTEM, koj tuaj yeem yooj yim tsim kev sib txuas rov qab ntawm TCP. Obviously, disabling ncaj qha TCP yog nruj me ntsis teeb meem rau cov neeg siv IIS txwv. Spoiler: IIS cov neeg siv kev khiav tsheb yog qee yam qhwv hauv ISA Proxy hauv zos hauv ob qho tib si. Yuav ua li cas raws nraim nws ua hauj lwm, kuv tsis tau reproduced.
- Kuv nyob hauv ib qho "DMZ" (thiab qhov no tsis yog Active Directory domain, tab sis ib qho chaw ua haujlwm) - nws suab zoo. Tab sis tsis yog qhov xav tau ntiag tug ("grey") IP chaw nyob, Kuv muaj qhov chaw nyob IP "dawb" kiag li, zoo ib yam li qhov kuv tau tawm tsam dhau los. Qhov no txhais tau hais tias lub tuam txhab muaj hnub nyoog heev nyob rau hauv lub ntiaj teb no ntawm IPv4 hais tias nws muaj peev xwm muaj peev xwm tswj tau ib cheeb tsam DMZ rau 128 "dawb" chaw nyob yam tsis muaj NAT raws li lub tswv yim, raws li tau piav qhia hauv Cisco phau ntawv qhia los ntawm 2005.
Txij li thaum tus neeg rau zaub mov qub, Mimikatz tau lees tias ua haujlwm ncaj qha los ntawm kev nco:
Kuv tau txais tus password tus thawj tswj hwm hauv zos, qhov RDP tsheb khiav hla TCP thiab nkag mus rau hauv lub desktop cozy. Txij li thaum kuv tuaj yeem ua txhua yam kuv xav tau nrog lub server, Kuv tshem tawm cov tshuaj tiv thaiv kab mob thiab pom tias lub server nkag tau los ntawm Is Taws Nem tsuas yog los ntawm TCP ports 80 thiab 443, thiab 443 tsis muaj haujlwm. Kuv teeb tsa OpenVPN neeg rau zaub mov ntawm 443, ntxiv NAT cov haujlwm rau kuv lub VPN kev khiav tsheb thiab tau txais kev nkag ncaj qha mus rau DMZ network hauv daim ntawv tsis txwv los ntawm kuv OpenVPN. Nws yog ib qho tseem ceeb uas ISA, muaj qee qhov tsis muaj kev xiam oob qhab IPS, thaiv kuv txoj kev tsheb khiav nrog chaw nres nkoj scan, uas nws yuav tsum tau hloov nrog RRAS yooj yim dua thiab ua raws. Yog li pentesters qee zaum tseem yuav tsum tswj hwm txhua yam.
Tus neeg nyeem zoo yuav nug: "Yuav ua li cas txog lub vev xaib thib ob - wiki nrog NTLM authentication, txog qhov ntau npaum li cas tau sau?" Xav paub ntxiv txog qhov no tom qab.
Ntu 2. Tseem tsis tau encrypting? Ces peb los cuag koj twb nyob ntawm no lawm
Yog li, muaj kev nkag mus rau DMZ network ntu. Koj yuav tsum tau mus rau tus thawj tswj hwm. Thawj qhov uas los rau hauv siab yog yuav tsum tau kuaj xyuas kev ruaj ntseg ntawm cov kev pabcuam hauv ntu DMZ, tshwj xeeb tshaj yog vim muaj ntau yam ntawm lawv tam sim no qhib rau kev tshawb fawb. Ib daim duab raug thaum lub sij hawm nkag mus rau hauv kev ntsuam xyuas: lub sab nraud perimeter yog zoo dua tiv thaiv tshaj nyob rau hauv cov kev pab cuam, thiab thaum twg nkag mus rau hauv ib tug loj infrastructure, nws yog ntau yooj yim dua kom tau ncua txoj cai nyob rau hauv ib tug sau tsuas yog vim qhov tseeb hais tias tus sau no pib. siv tau rau cov cuab yeej, thiab qhov thib ob, Hauv kev tsim kho vaj tse nrog ntau txhiab tus tswv, yuav muaj ob peb qhov teeb meem tseem ceeb.
Kuv them cov scanners ntawm DMZ ntawm OpenVPN qhov thiab tos. Kuv qhib daim ntawv tshaj tawm - dua tsis muaj dab tsi loj, thaj tsam ib tug neeg dhau los ntawm tib txoj kev ua ntej kuv. Cov kauj ruam tom ntej yog los tshuaj xyuas seb tus tswv tsev nyob hauv DMZ network sib txuas lus li cas. Txhawm rau ua qhov no, ua ntej tshaj tawm Wireshark li ib txwm thiab mloog rau kev thov tshaj tawm, feem ntau ARP. Cov pob ntawv ARP tau sau txhua hnub. Nws hloov tawm tias ob peb lub rooj vag siv nyob rau hauv ntu no. Qhov no yuav siv tau tom qab. Los ntawm kev sib txuas cov ntaub ntawv ntawm ARP qhov kev thov-lus teb thiab cov ntaub ntawv scanning chaw nres nkoj, kuv pom cov ntsiab lus tawm ntawm cov neeg siv tsheb khiav los ntawm sab hauv lub network ntxiv rau cov kev pabcuam uas tau paub dhau los, xws li lub vev xaib thiab xa ntawv.
Txij li thaum lub sijhawm tam sim no kuv tsis muaj kev nkag mus rau lwm lub tshuab thiab tsis muaj ib tus account rau cov kev pabcuam hauv tuam txhab, nws tau txiav txim siab kom ntses tawm tsawg kawg qee tus account los ntawm kev siv ARP Spoofing.
Cain&Abel tau tsim tawm ntawm urologist tus neeg rau zaub mov. Nrog rau kev txheeb xyuas cov kev khiav tsheb khiav, cov khub zoo tshaj plaws rau cov txiv neej-hauv-tus-nruab nrab nres tau xaiv, thiab tom qab ntawd qee qhov kev sib txuas hauv network tau txais los ntawm lub sijhawm luv luv rau 5-10 feeb, nrog lub sijhawm kom rov pib lub server. thaum khov. Raws li nyob rau hauv lus tso dag, muaj ob xov xwm:
- Zoo: ntau daim ntawv pov thawj raug ntes thiab qhov kev tawm tsam ua haujlwm tag nrho.
- Qhov tsis zoo: tag nrho cov ntawv pov thawj yog los ntawm tus neeg siv khoom tus kheej. Thaum muab cov kev pabcuam txhawb nqa, cov neeg siv khoom tshwj xeeb txuas nrog cov kev pabcuam ntawm cov neeg siv khoom uas tsis ib txwm muaj kev nkag mus rau kev nkag mus rau hauv kev teeb tsa.
Raws li qhov tshwm sim, kuv tau txais ntau daim ntawv pov thawj uas tsis muaj txiaj ntsig nyob rau hauv cov ntsiab lus ntawm qhov project, tab sis nws yog qhov nthuav heev raws li kev ua qauv qhia txog kev txaus ntshai ntawm kev tawm tsam. Ciam teb routers ntawm cov tuam txhab loj nrog telnet, xa tawm debug http cov chaw nres nkoj rau sab hauv CRM nrog tag nrho cov ntaub ntawv, ncaj qha nkag mus rau RDP los ntawm Windows XP ntawm lub network hauv zos thiab lwm yam kev tsis pom zoo. Nws muab tawm zoo li no .
Kuv kuj pom lub sijhawm lom zem los sau cov ntawv los ntawm kev khiav tsheb, qee yam zoo li no. Qhov no yog ib qho piv txwv ntawm tsab ntawv npaj tau los ntawm peb cov neeg siv khoom mus rau nws tus neeg siv khoom qhov chaw nres nkoj SMTP, dua, tsis muaj kev nkag mus. Ib qho Andrey nug nws lub npe kom rov xa cov ntaub ntawv, thiab nws tau muab tso rau hauv huab disk nrog tus ID nkag mus, lo lus zais thiab txuas hauv ib tsab ntawv teb:
Qhov no yog lwm qhov ceeb toom rau encrypt tag nrho cov kev pabcuam. Nws tsis paub tias leej twg thiab thaum twg yuav nyeem thiab siv koj cov ntaub ntawv tshwj xeeb - tus kws kho mob, tus thawj tswj hwm ntawm lwm lub tuam txhab, lossis xws li pentester. Kuv nyob ntsiag to txog qhov tseeb tias ntau tus neeg tuaj yeem cuam tshuam cov tsheb tsis sib xws.
Txawm tias muaj kev vam meej, qhov no tsis tau coj peb los ze zog rau lub hom phiaj. Nws yog qhov ua tau, ntawm chav kawm, zaum ntev ntev thiab ntses tawm cov ntaub ntawv tseem ceeb, tab sis nws tsis yog qhov tseeb tias nws yuav tshwm sim muaj, thiab qhov kev tawm tsam nws tus kheej yog qhov txaus ntshai heev ntawm kev ncaj ncees ntawm lub network.
Tom qab lwm qhov khawb rau hauv cov kev pabcuam, ib lub tswv yim nthuav tuaj rau hauv siab. Muaj cov khoom siv hluav taws xob hu ua Responder (nws yooj yim los nrhiav cov piv txwv ntawm kev siv lub npe no), uas, los ntawm "kev lom zem" kev thov tshaj tawm, ua rau muaj kev sib txuas ntawm ntau yam kev cai xws li SMB, HTTP, LDAP, thiab lwm yam. nyob rau hauv ntau txoj kev, ces nug txhua leej txhua tus uas txuas rau authenticate thiab teeb tsa nws kom qhov kev lees paub tshwm sim ntawm NTLM thiab hauv hom pob tshab rau tus neeg raug tsim txom. Feem ntau, tus neeg tawm tsam sau NetNTLMv2 handshakes nyob rau hauv txoj kev no thiab los ntawm lawv, siv phau ntawv txhais lus, sai sai rov qab cov neeg siv cov passwords. Ntawm no kuv xav tau ib yam dab tsi zoo sib xws, tab sis cov neeg siv zaum "tom qab phab ntsa", los yog, lawv tau sib cais los ntawm firewall, thiab nkag mus rau WEB los ntawm Blue Coat proxy pawg.
Nco ntsoov, kuv tau teev tias Active Directory domain name coincided nrog lub "sab nraud" sau, uas yog, nws yog company.ru? Yog li, Windows, ntau dua qhov tseeb Internet Explorer (thiab Edge thiab Chrome), tso cai rau tus neeg siv kom pom tseeb hauv HTTP ntawm NTLM yog tias lawv xav tias qhov chaw nyob hauv qee qhov "Intranet Zone". Ib qho ntawm cov cim qhia ntawm "Intranet" yog nkag mus rau "grey" IP chaw nyob lossis lub npe luv DNS, uas yog, tsis muaj dots. Txij li thaum lawv muaj ib tus neeg rau zaub mov nrog "dawb" IP thiab DNS lub npe preobrazhensky.company.ru, thiab cov tshuab sau npe feem ntau tau txais Active Directory domain suffix ntawm DHCP rau kev yooj yim lub npe nkag, lawv tsuas yog yuav tsum sau URL hauv qhov chaw nyob bar. , kom lawv nrhiav tau txoj hauv kev mus rau kev cuam tshuam urologist tus neeg rau zaub mov, tsis txhob hnov ββqab tias qhov no yog tam sim no hu ua "Intranet". Ntawd yog, tib lub sijhawm muab rau kuv tus neeg siv NTLM-kev tuav tes yam tsis muaj nws txoj kev paub. Txhua yam uas tseem tshuav yog yuam kom cov neeg siv browsers xav txog qhov xav tau ceev mus cuag tus neeg rau zaub mov no.
Qhov txiaj ntsig zoo Intercepter-NG tuaj rau kev cawm (ua tsaug ). Nws tso cai rau koj hloov tsheb khiav ceev thiab ua haujlwm zoo rau Windows 2003. Nws txawm muaj kev ua haujlwm sib cais rau kev hloov kho cov ntaub ntawv JavaScript nkaus xwb hauv cov tsheb khiav. Ib hom ntawv loj heev Hla-Site Scripting tau npaj.
Blue Coat proxies, los ntawm cov neeg siv nkag mus rau lub ntiaj teb WEB, ib ntus cached cov ntsiab lus zoo li qub. Los ntawm kev cuam tshuam cov tsheb khiav, nws tau pom tseeb tias lawv tau ua haujlwm nyob ib puag ncig lub sijhawm, tsis tas yuav thov siv cov khoom zoo li qub los ua kom cov ntsiab lus nthuav tawm thaum lub sij hawm ncov. Tsis tas li ntawd, BlueCoat muaj ib tus neeg siv-tus neeg sawv cev tshwj xeeb, uas qhia meej meej nws los ntawm tus neeg siv tiag tiag.
Javascript tau npaj, uas, siv Intercepter-NG, tau siv rau ib teev tsaus ntuj rau txhua lo lus teb nrog JS cov ntaub ntawv rau Blue Coat. Tsab ntawv tau ua raws li hauv qab no:
- Txiav txim siab qhov browser tam sim no los ntawm User-Agent. Yog tias nws yog Internet Explorer, Edge lossis Chrome, nws txuas ntxiv ua haujlwm.
- Kuv tos kom txog thaum DOM ntawm nplooj ntawv raug tsim.
- Ntxig ib qho duab tsis pom rau hauv DOM nrog tus cwj pwm src ntawm daim ntawv :8080/NNNNNNN.png, qhov twg NNN yog tus lej arbitrary kom BlueCoat tsis cache nws.
- Teem lub ntiaj teb tus chij sib txawv los qhia tias kev txhaj tshuaj tiav thiab tsis tas yuav tsum tau ntxig cov duab ntxiv lawm.
Lub browser sim thauj cov duab no; ntawm qhov chaw nres nkoj 8080 ntawm qhov cuam tshuam server, TCP qhov tau tos nws rau kuv lub laptop, qhov twg tib tus neeg teb tau ua haujlwm, xav kom tus browser nkag los ntawm NTLM.
Kev txiav txim los ntawm Cov Lus Teb Cov Ntawv Teev Tseg, cov neeg tuaj ua haujlwm thaum sawv ntxov, qhib lawv lub chaw ua haujlwm, tom qab ntawd cov neeg coob coob thiab cov neeg tsis pom zoo tau pib mus xyuas urologist tus neeg rau zaub mov, tsis txhob hnov ββββqab "dhau" NTLM tuav tes. Handshakes rained txhua hnub thiab kom meej meej khaws cov ntaub ntawv rau ib tug obviously vam meej nres rov qab passwords. Nov yog qhov Responder cav zoo li:
Cov neeg tsis pub leej twg paub mus ntsib urologist server los ntawm cov neeg siv
Tej zaum koj twb tau pom tias tag nrho zaj dab neeg no yog tsim los ntawm lub hauv paus ntsiab lus "txhua yam ua tau zoo, tab sis tom qab ntawd muaj kev ntxhov siab, tom qab ntawd muaj kev kov yeej, thiab tom qab ntawd txhua yam tuaj yeem ua tiav." Yog li ntawd, muaj ib tug bummer ntawm no. Ntawm tsib caug qhov tshwj xeeb tuav tes, tsis muaj ib qho tau qhia tawm. Thiab qhov no coj mus rau hauv tus account lub fact tias txawm nyob rau hauv lub laptop nrog ib tug tuag processor, cov NTLMv2 handshakes yog ua tiav ntawm ib tug ceev ntawm ob peb puas lab sim ib ob.
Kuv yuav tsum tau arm kuv tus kheej nrog cov txheej txheem hloov pauv lo lus zais, daim npav video, phau ntawv txhais lus tuab dua thiab tos. Tom qab lub sijhawm ntev, ntau tus lej nyiaj nrog cov passwords ntawm daim ntawv "Q11111111....1111111q" tau tshwm sim, uas qhia tias txhua tus neeg siv tau raug yuam kom tuaj nrog tus password ntev heev nrog cov ntaub ntawv sib txawv ntawm cov cim, uas tseem yuav tsum tau ua. ua complex. Tab sis koj tsis tuaj yeem dag tus neeg siv caij nyoog, thiab qhov no yog qhov nws ua kom yooj yim rau nws tus kheej kom nco qab. Nyob rau hauv tag nrho, kwv yees li 5 tus account raug cuam tshuam, thiab tsuas yog ib qho ntawm lawv muaj cov cai muaj txiaj ntsig rau cov kev pabcuam.
Ntu 3. Roskomnadzor ntaus rov qab
Yog li, thawj tus lej nyiaj tau txais. Yog tias koj tsis tau tsaug zog los ntawm qhov no los ntawm kev nyeem ntev, koj yuav nco ntsoov tias kuv tau hais txog qhov kev pabcuam uas tsis xav tau qhov thib ob ntawm kev lees paub: nws yog wiki nrog NTLM authentication. Tau kawg, thawj qhov uas yuav tsum tau ua yog nkag mus rau ntawd. Kev khawb rau hauv lub hauv paus kev paub tau sai sai tau txais txiaj ntsig:
- Lub tuam txhab muaj ib tug WiFi network nrog authentication siv tus sau nyiaj nrog nkag mus rau hauv lub zos network. Nrog rau cov ntaub ntawv tam sim no, qhov no yog qhov ua haujlwm tawm tsam vector, tab sis koj yuav tsum mus rau lub chaw ua haujlwm nrog koj txhais taw thiab nyob rau qhov chaw ntawm thaj chaw ntawm cov neeg siv khoom lub chaw ua haujlwm.
- Kuv pom ib qho kev qhia raws li qhov muaj kev pab cuam uas tso cai rau nws tus kheej sau npe "thib ob yam" authentication ntaus ntawv yog tias tus neeg siv nyob rau hauv ib lub zos network thiab ntseeg siab nco ntsoov nws sau npe nkag thiab lo lus zais. Hauv qhov no, "sab hauv" thiab "sab nraud" tau txiav txim siab los ntawm kev nkag tau ntawm qhov chaw nres nkoj ntawm qhov kev pabcuam no rau tus neeg siv. Qhov chaw nres nkoj tsis nkag tau los ntawm Is Taws Nem, tab sis tau nkag mus tau zoo los ntawm DMZ.
Tau kawg, "qhov tseem ceeb thib ob" tau ntxiv tam sim ntawd rau hauv tus as khauj cuam tshuam hauv daim ntawv thov hauv kuv lub xov tooj. Muaj ib qho kev pab cuam uas tuaj yeem xa suab nrov nrov rau hauv xov tooj nrog "pom zoo" / "tsis pom zoo" khawm rau qhov kev txiav txim, los yog ntsiag to qhia OTP code ntawm lub vijtsam rau kev nkag mus ntxiv. Ntxiv mus, thawj txoj kev yuav tsum tau ua los ntawm cov lus qhia kom tsuas yog qhov tseeb, tab sis nws tsis ua haujlwm, tsis zoo li OTP txoj kev.
Nrog rau "qhov thib ob" tawg, Kuv tuaj yeem nkag mus rau Outlook Web Access xa ntawv thiab nkag mus rau tej thaj chaw deb hauv Citrix Netscaler Gateway. Muaj qhov xav tsis thoob hauv kev xa ntawv hauv Outlook:
Hauv qhov txhaj tshuaj tsawg kawg no koj tuaj yeem pom yuav ua li cas Roskomnadzor pab pentesters
Cov no yog thawj lub hlis tom qab lub npe nrov "kiv cua" thaiv ntawm Telegram, thaum tag nrho cov tes hauj lwm nrog ntau txhiab qhov chaw nyob inexorably ploj ntawm kev nkag. Nws tau paub meej tias vim li cas lub laub tsis ua haujlwm tam sim ntawd thiab vim li cas kuv "tus neeg raug tsim txom" tsis tau suab lub tswb vim lawv pib siv nws tus account thaum qhib sijhawm.
Ib tus neeg paub Citrix Netscaler xav txog tias nws feem ntau yog ua raws li txoj hauv kev uas tsuas yog daim duab sib cuam tshuam tuaj yeem xa mus rau tus neeg siv, sim tsis muab nws cov cuab yeej los tso tawm cov ntawv thov thib peb thiab hloov cov ntaub ntawv, txwv rau txhua txoj hauv kev ua. los ntawm tus qauv tswj plhaub. Kuv "tus neeg raug tsim txom", vim nws txoj haujlwm, tsuas yog tau txais 1C:
Tom qab taug kev ncig 1C interface me ntsis, kuv pom tias muaj cov txheej txheem ua haujlwm sab nraud nyob ntawd. Lawv tuaj yeem thauj khoom los ntawm lub interface, thiab lawv yuav raug tua ntawm tus neeg siv khoom lossis server, nyob ntawm txoj cai thiab kev teeb tsa.
Kuv nug kuv cov phooj ywg 1C programmer los tsim kev ua haujlwm uas yuav lees txais txoj hlua thiab ua tiav nws. Hauv 1C hom lus, pib txheej txheem zoo li qhov no (nrhiav los ntawm Is Taws Nem). Koj puas pom zoo tias cov syntax ntawm 1C lus amazes cov neeg hais lus Lavxias nrog nws tus kheej?
Cov txheej txheem tau ua tiav zoo; nws tau dhau los ua qhov uas cov neeg siv hu ua "plhaub" - Internet Explorer tau pib los ntawm nws.
Yav dhau los, qhov chaw nyob ntawm lub kaw lus uas tso cai rau koj xaj cov ntawv hla mus rau thaj chaw tau pom nyob rau hauv kev xa ntawv. Kuv yuam kom hla yog tias kuv yuav tsum siv WiFi nres vector.
Muaj kev sib tham hauv Is Taws Nem tias tseem muaj kev noj qab haus huv pub dawb ntawm tus neeg siv khoom lub chaw ua haujlwm, tab sis kuv tseem nyiam tsim qhov kev tawm tsam deb, nws yog calmer.
AppLocker tau qhib rau ntawm daim ntawv thov server khiav Citrix, tab sis nws tau hla dhau. Tib Meterpreter tau thauj khoom thiab pib ntawm DNS, txij li http(s) versions tsis xav txuas, thiab kuv tsis paub qhov chaw nyob hauv lub sijhawm ntawd. Los ntawm txoj kev, los ntawm lub sij hawm no rau, sab nraud pentest yeej tseem ceeb kiag li tig mus rau hauv ib qho.
Part 4. Admin txoj cai rau cov neeg siv yog phem, puas yog?
Thawj txoj haujlwm ntawm pentester thaum tau txais kev tswj hwm ntawm tus neeg siv kev sib tham yog sau tag nrho cov ntaub ntawv hais txog cov cai hauv lub npe. Muaj cov khoom siv BloodHound uas tso cai rau koj rub tawm cov ntaub ntawv hais txog cov neeg siv, khoos phis tawj, pab pawg kev nyab xeeb ntawm LDAP raws tu qauv los ntawm tus tswj hwm sau npe, thiab ntawm SMB - cov ntaub ntawv hais txog tus neeg siv nyuam qhuav nkag rau qhov twg thiab leej twg yog tus thawj coj hauv zos.
Ib txoj hauv kev zoo rau kev txeeb tus thawj tswj hwm txoj cai zoo li yooj yim raws li lub voj voog ntawm kev ua haujlwm monotonous:
- Peb mus rau lub khoos phis tawj uas muaj cov cai tswj hwm hauv zos, raws li cov nyiaj tau raug ntes lawm.
- Peb tso tawm Mimikatz thiab tau txais cached passwords, Kerberos daim pib thiab NTLM hashs ntawm tus lej nyiaj uas nyuam qhuav nkag rau hauv qhov system no. Los yog peb tshem tawm lub cim xeeb duab ntawm cov txheej txheem lsass.exe thiab ua tib yam ntawm peb sab. Qhov no ua haujlwm zoo nrog Windows qis dua 2012R2 / Windows 8.1 nrog rau qhov chaw pib.
- Peb txiav txim siab qhov twg cov nyiaj raug cuam tshuam muaj cai tswj hwm hauv zos. Peb rov ua thawj lub ntsiab lus. Ntawm qee theem peb tau txais cov cai tswj hwm rau tag nrho cov npe.
"Xaiv lub voj voog;", raws li 1C programmers yuav sau ntawm no.
Yog li, peb cov neeg siv tau dhau los ua tus thawj coj hauv zos ntawm ib tus tswv tsev nrog Windows 7, lub npe uas suav nrog lo lus "VDI", lossis "Virtual Desktop Infrastructure", tus kheej lub tshuab virtual. Tej zaum, tus tsim qauv ntawm VDI kev pabcuam txhais tau hais tias txij li VDI yog tus neeg siv tus kheej kev ua haujlwm, txawm tias tus neeg siv hloov pauv software ib puag ncig raws li nws txaus siab, tus tswv tsev tseem tuaj yeem "reloaded". Kuv kuj xav tias feem ntau lub tswv yim zoo, kuv tau mus rau tus kheej VDI tus tswv tsev thiab ua zes rau ntawd:
- Kuv tau nruab ib tus neeg siv OpenVPN nyob rau ntawd, uas ua ib qhov hauv Internet rau kuv tus neeg rau zaub mov. Tus neeg siv yuav tsum raug yuam mus dhau tib lub tsho xiav xiav nrog kev lees paub qhov tseeb, tab sis OpenVPN tau ua nws, raws li lawv hais, "tawm ntawm lub thawv."
- Nruab OpenSSH ntawm VDI. Zoo, tiag tiag, Windows 7 yog dab tsi tsis muaj SSH?
Qhov no yog qhov nws zoo li nyob. Cia kuv ceeb toom rau koj tias txhua yam no yuav tsum tau ua los ntawm Citrix thiab 1C:
Ib txoj hauv kev los txhawb kev nkag mus rau cov khoos phis tawj nyob sib ze yog txhawm rau txheeb xyuas cov password hauv zos rau kev sib tw. Ntawm no muaj hmoo tam sim ntawd tos: NTLM hash ntawm tus thawj tswj hwm hauv cheeb tsam (uas yog tam sim no hu ua Administrator) tau los ntawm kev hla-tus-hash nres rau cov neeg nyob sib ze VDI, uas muaj ntau pua. Tau kawg, qhov kev tawm tsam tam sim ntawd ntaus lawv.
Nov yog qhov uas VDI cov thawj coj tau tua lawv tus kheej hauv ko taw ob zaug:
- Thawj zaug yog thaum lub tshuab VDI tsis tau coj mus rau hauv LAPS, qhov tseem ceeb khaws tib lub zos tus thawj coj lo lus zais los ntawm cov duab uas tau xa mus rau VDI loj heev.
- Tus thawj tswj hwm lub neej yog tib tus account hauv zos uas muaj kev cuam tshuam los ntawm kev tawm tsam-tus-hash. Txawm tias muaj tib lo lus zais, nws yuav ua tau kom tsis txhob muaj kev cuam tshuam loj los ntawm kev tsim ib tus account thawj coj hauv zos thib ob nrog tus password nyuaj thiab thaiv lub neej ntawd.
Vim li cas qhov kev pabcuam SSH ntawm lub Windows? Yooj yim heev: tam sim no tus neeg rau zaub mov OpenSSH tsis yog tsuas yog muab lub plhaub yooj yim sib tham sib hais kom tsis muaj kev cuam tshuam nrog tus neeg siv txoj haujlwm, tab sis kuj tseem muaj cov thom khwm 5 npe ntawm VDI. Los ntawm cov thom khwm no, kuv txuas nrog SMB thiab khaws cov nyiaj cached los ntawm tag nrho cov no ntau pua ntawm VDI cov cav tov, tom qab ntawd nrhiav txoj hauv kev mus rau tus thawj tswj hwm siv lawv hauv BloodHound graphs. Nrog ntau pua tus tswv ntawm kuv pov tseg, kuv pom txoj kev no sai heev. Domain administrator cai tau txais.
Ntawm no yog ib daim duab hauv Is Taws Nem uas qhia txog kev tshawb nrhiav zoo sib xws. Kev sib txuas qhia tias leej twg yog tus thawj coj nyob qhov twg thiab leej twg nkag mus rau qhov twg.
Los ntawm txoj kev, nco ntsoov cov xwm txheej los ntawm qhov pib ntawm qhov project - "tsis txhob siv social engineering." Yog li, kuv thov kom xav txog ntau npaum li cas tag nrho cov Bollywood no nrog cov teebmeem tshwj xeeb yuav raug txiav tawm yog tias nws tseem tuaj yeem siv banal phishing. Tab sis tus kheej, nws yog qhov nthuav heev rau kuv ua txhua yam no. Kuv vam tias koj nyiam nyeem qhov no. Tau kawg, tsis yog txhua qhov project zoo li ntxim nyiam, tab sis kev ua haujlwm tag nrho yog qhov nyuaj heev thiab tsis tso cai rau nws mus rau stagnate.
Tej zaum ib tug neeg yuav muaj lus nug: yuav tiv thaiv koj tus kheej li cas? Txawm hais tias tsab xov xwm no piav qhia ntau yam txuj ci, ntau yam uas cov thawj coj hauv Windows tseem tsis paub txog. Txawm li cas los xij, kuv thov kom saib lawv los ntawm kev xav ntawm hackneyed cov hauv paus ntsiab lus thiab cov ntaub ntawv kev ruaj ntseg ntsuas:
- Tsis txhob siv cov software tsis tu ncua (nco Windows 2003 thaum pib?)
- tsis txhob khaws cov tshuab tsis tsim nyog qhib (vim li cas thiaj muaj urologist lub vev xaib?)
- xyuas cov neeg siv cov passwords kom muaj zog koj tus kheej (tsis li ntawd cov tub rog ... pentesters yuav ua qhov no)
- tsis muaj tib lo lus zais rau cov nyiaj sib txawv (VDI cuam tshuam)
- thiab lwm yam
Tau kawg, qhov no yog qhov nyuaj heev rau kev siv, tab sis nyob rau hauv tsab xov xwm tom ntej peb yuav qhia nyob rau hauv kev xyaum hais tias nws yog heev ua tau.
Tau qhov twg los: www.hab.com