ProHoster > Π‘Π»ΠΎΠ³ > xov xwm hauv internet > Tom Hunter's Diary: "Tus Hound ntawm Baskervilles"

Tom Hunter's Diary: "Tus Hound ntawm Baskervilles"

Kev ncua ntawm kev kos npe yog ib txwm muaj rau txhua lub tuam txhab loj. Qhov kev pom zoo ntawm Tom Hunter thiab ib lub khw muag tsiaj rau kev nkag siab zoo tsis muaj qhov tshwj xeeb. Peb yuav tsum xyuas lub vev xaib, lub network sab hauv, thiab txawm tias ua haujlwm Wi-nkaus.

Nws tsis yog qhov xav tsis thoob tias kuv txhais tes tau khaus txawm tias ua ntej tag nrho cov kev cai raug txiav txim. Zoo, tsuas yog luam theej duab lub vev xaib xwb, nws tsis zoo li lub khw muag khoom zoo li "The Hound of the Baskervilles" yuav ua yuam kev ntawm no. Ob peb hnub tom qab, Tom thaum kawg tau xa daim ntawv cog lus thawj zaug - lub sijhawm no, dhau ntawm peb lub khob kas fes, Tom los ntawm sab hauv CMS tau soj ntsuam nrog kev txaus siab ntawm lub tsev khaws khoom ...

Tom Hunter's Diary: "Tus Hound ntawm Baskervilles"Tau qhov twg los: Ehsan Taub

Tab sis nws tsis tuaj yeem tswj hwm ntau hauv CMS - cov thawj coj ntawm lub xaib txwv Tom Hunter's IP. Txawm hais tias nws yuav muaj sijhawm los tsim cov nyiaj tshwj xeeb ntawm daim npav hauv khw thiab pub rau koj tus miv ntxim nyiam ntawm qhov pheej yig tau ntau lub hlis ... "Tsis yog lub sijhawm no, Darth Sidious," Tom xav nrog luag nyav. Nws yuav tsis muaj qhov nthuav tsawg dua mus los ntawm thaj chaw lub vev xaib mus rau tus neeg siv khoom hauv zos network, tab sis pom tau tias cov ntu no tsis txuas rau tus neeg siv khoom. Tseem, qhov no tshwm sim ntau zaus hauv cov tuam txhab loj heev.

Tom qab tag nrho cov kev cai, Tom Hunter tau ua tub rog rau nws tus kheej nrog tus muab VPN account thiab mus rau tus neeg siv khoom hauv zos network. Tus account tau nyob hauv Active Directory domain, yog li nws muaj peev xwm muab pov tseg AD yam tsis muaj kev qhia tshwj xeeb - tshem tawm tag nrho cov ntaub ntawv tshaj tawm txog cov neeg siv thiab cov tshuab ua haujlwm.

Tom tau pib lub adfind utility thiab pib xa LDAP thov mus rau tus thawj tswj hwm. Nrog rau cov lim dej ntawm cov chav kawm objectcategory, qhia tus neeg ua tus cwj pwm. Cov lus teb rov qab los nrog cov qauv hauv qab no:

dn:CN=Π“ΠΎΡΡ‚ΡŒ,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Π“ΠΎΡΡ‚ΡŒ
>description: ВстроСнная учСтная запись для доступа гостСй ΠΊ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Ρƒ ΠΈΠ»ΠΈ Π΄ΠΎΠΌΠ΅Π½Ρƒ
>distinguishedName: CN=Π“ΠΎΡΡ‚ΡŒ,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0Z

Ntxiv rau qhov no, muaj ntau cov ntaub ntawv tseem ceeb, tab sis qhov nthuav tshaj plaws yog nyob rau hauv > piav qhia: > piav qhia. Qhov no yog ib qho kev tawm tswv yim ntawm tus account - qhov yooj yim qhov chaw yooj yim khaws cov ntawv me. Tab sis tus neeg siv khoom cov thawj coj txiav txim siab tias cov passwords kuj tuaj yeem zaum ntawm qhov ntsiag to. Leej twg, tom qab tag nrho, tej zaum yuav txaus siab rau tag nrho cov ntaub ntawv tseem ceeb no? Yog li cov lus Tom tau txais yog:

Π‘ΠΎΠ·Π΄Π°Π» Администратор, 2018.11.16 7po!*Vqn

Koj tsis tas yuav yog tus kws tshawb fawb foob pob hluav taws kom nkag siab tias vim li cas kev sib xyaw ua ke thaum kawg yog qhov muaj txiaj ntsig. Txhua yam uas tseem tshuav yog txhawm rau txheeb xyuas cov ntaub ntawv teb loj los ntawm CD siv cov lus piav qhia: thiab ntawm no lawv yog - 20 tus lej nkag-tus password. Ntxiv mus, yuav luag ib nrab muaj RDP txoj cai nkag. Tsis yog lub taub hau tsis zoo, lub sijhawm los faib cov tub rog tawm tsam.

Network puag ncig

Cov Hounds nkag mus tau ntawm Baskerville cov pob tau nco txog lub nroog loj hauv txhua qhov kev ntxhov siab thiab tsis muaj kev cia siab. Nrog cov neeg siv thiab RDP cov ntaub ntawv, Tom Hunter yog ib tug me nyuam tub tawg hauv lub nroog no, tab sis txawm tias nws tau tswj kom pom ntau yam los ntawm lub qhov rais ci ntsa iab ntawm txoj cai ruaj ntseg.

Ib feem ntawm cov ntaub ntawv servers, accounting accounts, thiab txawm tias cov ntawv txuas nrog lawv tau raug tshaj tawm rau pej xeem. Hauv qhov chaw ntawm ib qho ntawm cov ntawv sau no, Tom pom MS SQL hash ntawm ib tus neeg siv. Ib me ntsis brute quab yuam khawv koob - thiab tus neeg siv lub hash hloov mus rau hauv cov ntawv nyeem lo lus zais. Ua tsaug rau John The Ripper thiab Hashcat.

Tom Hunter's Diary: "Tus Hound ntawm Baskervilles"

Tus yuam sij no yuav tsum muaj lub hauv siab. Lub hauv siab tau pom, thiab dab tsi ntxiv, kaum ntxiv "hauv siab" tau cuam tshuam nrog nws. Thiab nyob rau hauv lub rau nteg ... superuser txoj cai, nt txoj cai system! Ntawm ob ntawm lawv peb tuaj yeem khiav xp_cmdshell khaws cov txheej txheem thiab xa cmd cov lus txib rau Windows. Koj xav tau dab tsi ntxiv?

Domain controllers

Tom Hunter tau npaj lub tshuab thib ob rau cov tswj hwm. Muaj peb ntawm lawv nyob rau hauv "Aub ntawm Baskervilles" network, raws li tus naj npawb ntawm thaj chaw deb servers. Txhua tus tswj hwm lub npe muaj cov ntawv tais ceev tseg rau pej xeem, zoo li qhib rooj plaub hauv lub khw, nyob ze uas tib tus tub hluas Tom dai tawm.

Thiab lub sij hawm no tus txiv leej tub muaj hmoo dua - lawv tsis nco qab tshem cov ntawv los ntawm cov ntaub ntawv, qhov twg lub zos server admin lo lus zais tau hardcoded. Yog li txoj kev mus rau tus tswj hwm tau qhib. Los hauv, Tom!

Ntawm no los ntawm lub kaus mom khawv koob raug rub miv, uas tau txais txiaj ntsig los ntawm ntau tus thawj tswj hwm sau npe. Tom Hunter tau nkag mus rau txhua lub tshuab ntawm lub network hauv zos, thiab dab ntxwg nyoog luag ntshai tus miv los ntawm lub rooj zaum tom ntej. Txoj kev no tau luv dua li qhov xav tau.

Nyob Mus Ib Txhis

Lub cim xeeb ntawm WannaCry thiab Petya tseem muaj sia nyob hauv lub siab ntawm pentesters, tab sis qee tus thawj coj zoo li tsis nco qab txog ransomware hauv kev khiav ntawm lwm cov xov xwm yav tsaus ntuj. Tom pom peb lub nodes nrog qhov tsis zoo hauv SMB raws tu qauv - CVE-2017-0144 lossis EternalBlue. Qhov no yog tib qhov tsis zoo uas tau siv los faib WannaCry thiab Petya ransomware, qhov muaj qhov tsis zoo uas tso cai rau kev txiav txim siab rau tus tswv tsev. Ntawm ib qho ntawm cov nodes muaj kev cuam tshuam muaj kev sib tham sau npe - "siv thiab tau txais nws." Koj ua tau dab tsi, lub sij hawm tsis tau qhia sawv daws.

Tom Hunter's Diary: "Tus Hound ntawm Baskervilles"

"Tus Basterville's Dog"

Classics ntawm cov ntaub ntawv kev ruaj ntseg nyiam rov hais dua tias qhov tsis muaj zog tshaj plaws ntawm txhua qhov system yog tus neeg. Daim ntawv ceeb toom hais tias kab lus saum toj no tsis phim lub npe ntawm lub khw? Tej zaum tsis yog txhua tus neeg mob siab heev.

Nyob rau hauv cov kev cai zoo tshaj plaws ntawm phishing blockbusters, Tom Hunter tau sau npe sau npe uas txawv ntawm ib tsab ntawv los ntawm "Hounds of the Baskervilles" domain. Qhov chaw nyob xa ntawv ntawm tus sau npe no ua raws li qhov chaw nyob ntawm lub khw cov ntaub ntawv kev pabcuam kev nyab xeeb. Nyob rau ntawm 4 hnub ntawm 16:00 txog 17:00, tsab ntawv nram qab no tau xa mus rau 360 qhov chaw nyob los ntawm qhov chaw nyob cuav:

Tom Hunter's Diary: "Tus Hound ntawm Baskervilles"

Tej zaum, tsuas yog lawv tus kheej tub nkeeg tau cawm cov neeg ua haujlwm los ntawm kev xau loj ntawm cov passwords. Tawm ntawm 360 tsab ntawv, tsuas yog 61 tau qhib - qhov kev pabcuam kev nyab xeeb tsis nrov heev. Tab sis tom qab ntawd nws yooj yim dua.

Tom Hunter's Diary: "Tus Hound ntawm Baskervilles"
Phishing nplooj

46 tus neeg tau nyem rau ntawm qhov txuas thiab yuav luag ib nrab - 21 tus neeg ua haujlwm - tsis tau saib ntawm qhov chaw nyob bar thiab nkag mus rau hauv lawv tus lej nkag thiab lo lus zais. Nyob zoo, Tom.

Tom Hunter's Diary: "Tus Hound ntawm Baskervilles"

Wi-nkaus network

Tam sim no tsis tas yuav suav rau tus miv txoj kev pab. Tom Hunter pov ob peb daim hlau rau hauv nws lub tsheb qub thiab mus rau qhov chaw ua haujlwm ntawm Hound of the Baskervilles. Nws mus ntsib tsis tau pom zoo: Tom yuav sim tus neeg siv khoom Wi-Fi. Hauv qhov chaw nres tsheb ntawm qhov chaw ua lag luam muaj ntau qhov chaw dawb uas tau yooj yim suav nrog hauv ib puag ncig ntawm lub hom phiaj network. Pom tau tias, lawv tsis xav ntau txog nws qhov kev txwv - zoo li cov thawj coj tau random poking ntxiv cov ntsiab lus teb rau ib qho kev tsis txaus siab txog Wi-Fi tsis muaj zog.

WPA/WPA2 PSK kev ruaj ntseg ua haujlwm li cas? Kev nkag mus ntawm qhov chaw nkag thiab cov neeg siv khoom yog muab los ntawm tus yuam sij ua ntej - Pairwise Transient Key (PTK). PTK siv Pre-Shared Key thiab tsib lwm yam tsis muaj - SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), nkag mus thiab tus neeg siv MAC chaw nyob. Tom cuam tshuam tag nrho tsib qhov tsis muaj, thiab tam sim no tsuas yog Cov Ntsiab Lus Qhia Ua Ntej tau ploj lawm.

Tom Hunter's Diary: "Tus Hound ntawm Baskervilles"

Lub Hashcat qhov hluav taws xob rub tawm qhov txuas uas ploj lawm hauv li 50 feeb - thiab peb tus phab ej tau xaus rau hauv cov qhua network. Los ntawm nws koj tuaj yeem pom qhov ua haujlwm - oddly txaus, ntawm no Tom tswj tus password hauv li cuaj feeb. Thiab tag nrho cov no tsis tau tawm hauv qhov chaw nres tsheb, tsis muaj VPN. Lub network ua haujlwm tau qhib qhov kev ua ub no rau peb tus phab ej, tab sis nws ... yeej tsis tau ntxiv nyiaj tshwj xeeb rau daim npav khw.

Tom nres, ntsia nws lub moos, pov ob peb daim ntawv nyiaj rau ntawm lub rooj thiab hais lus zoo, tawm hauv lub tsev noj mov. Tej zaum nws yog ib tug pentest dua, los yog tej zaum nws yog nyob rau hauv xov tooj cua channel Kuv xav sau ntawv...


Tau qhov twg los: www.hab.com

Ntxiv ib saib