Kašnjenja u potpisivanju uobičajena su za svaku veliku tvrtku. Ugovor između Toma Huntera i jednog lanca trgovina za kućne ljubimce o temeljitom testiranju nije bio iznimka. Morali smo provjeriti web stranicu, internu mrežu, pa čak i radni Wi-Fi.
Ne čudi da su me zasvrbjele ruke i prije nego što su sve formalnosti bile riješene. Pa, samo skenirajte stranicu za svaki slučaj, malo je vjerojatno da će tako poznata trgovina kao što je "Baskervilski pas" ovdje pogriješiti. Nekoliko dana kasnije, Tomu je konačno isporučen potpisani originalni ugovor - u to vrijeme, uz treću šalicu kave, Tom iz internog CMS-a sa zanimanjem je procjenjivao stanje u skladištima...
Izvor:
Ali nije bilo moguće upravljati mnogo u CMS-u - administratori stranice zabranili su Tom Hunterov IP. Iako bi bilo moguće imati vremena generirati bonuse na kartici trgovine i jeftino hraniti svoju voljenu mačku mnogo mjeseci... "Ne ovaj put, Darth Sidious", pomislio je Tom sa smiješkom. Ništa manje zanimljivo ne bi bilo preći iz područja web stranice u lokalnu mrežu kupca, ali očito ti segmenti nisu povezani za klijenta. Ipak, to se češće događa u vrlo velikim tvrtkama.
Nakon svih formalnosti, Tom Hunter se naoružao dostavljenim VPN računom i otišao na lokalnu mrežu korisnika. Račun je bio unutar Active Directory domene, tako da je bilo moguće izbaciti AD bez ikakvih posebnih trikova - pražnjenja svih javno dostupnih informacija o korisnicima i radnim strojevima.
Tom je pokrenuo uslužni program adfind i počeo slati LDAP zahtjeve kontroleru domene. S filtrom na klasi objectKategory, navodeći osobu kao atribut. Odgovor je stigao sa sljedećom strukturom:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZOsim toga, bilo je puno korisnih informacija, ali najzanimljivije je bilo u polju >description: >description. Ovo je komentar na račun - u osnovi prikladno mjesto za čuvanje manjih bilješki. No administratori klijenta odlučili su da lozinke također mogu mirno stajati. Koga bi, uostalom, mogli zanimati svi ti beznačajni službeni zapisi? Dakle, komentari koje je Tom dobio bili su:
Создал Администратор, 2018.11.16 7po!*VqnNe morate biti veliki znanstvenik da shvatite zašto je kombinacija na kraju korisna. Sve što je preostalo bilo je analizirati veliku datoteku odgovora s CD-a pomoću polja >description: i evo ih - 20 parova login-password. Štoviše, gotovo polovica ima prava pristupa RDP-u. Nije loš mostobran, vrijeme je da se podijele napadačke snage.
mreža
Pristupačni psi s Baskervilleskih balova podsjećali su na veliki grad u svoj njegovoj kaotičnosti i nepredvidivosti. S korisničkim i RDP profilima, Tom Hunter je bio švorc u ovom gradu, ali čak je i on uspio puno toga vidjeti kroz blistave prozore sigurnosne politike.
Dijelovi poslužitelja datoteka, računovodstveni računi, pa čak i skripte povezane s njima, svi su javno objavljeni. U postavkama jedne od tih skripti Tom je pronašao MS SQL hash jednog korisnika. Malo grube magije - i korisnički hash se pretvorio u običnu tekstualnu lozinku. Hvala Johnu The Ripperu i Hashcatu.
Ovaj ključ je trebao stati u neku škrinju. Škrinja je pronađena, a uz nju je povezano još deset “škrinja”. A unutar šest lay... prava superkorisnika, nt sustav autoriteta! Na dva od njih uspjeli smo pokrenuti pohranjenu proceduru xp_cmdshell i poslati cmd naredbe u Windows. Što više možete poželjeti?
Kontrolori domene
Tom Hunter pripremio je drugi udarac za kontrolere domene. U mreži “Psi iz Baskervillea” bila su ih tri, sukladno broju geografski udaljenih poslužitelja. Svaki kontroler domene ima javnu mapu, poput otvorene vitrine u dućanu, kraj koje visi isti jadni dječak Tom.
I ovaj put tip je opet imao sreće - zaboravili su ukloniti skriptu iz vitrine, gdje je bila kodirana lozinka administratora lokalnog poslužitelja. Dakle, put do kontrolera domene bio je otvoren. Uđi, Tom!
Ovdje je izvučen čarobni šešir , koji je profitirao od nekoliko administratora domene. Tom Hunter dobio je pristup svim strojevima na lokalnoj mreži, a đavolski smijeh preplašio je mačku sa susjedne stolice. Ova je ruta bila kraća od očekivanog.
EternalBlue
Sjećanje na WannaCry i Petyu još uvijek je živo u glavama pentestera, ali čini se da su neki administratori zaboravili na ransomware u toku ostalih večernjih vijesti. Tom je otkrio tri čvora s ranjivošću u SMB protokolu - CVE-2017-0144 ili EternalBlue. Ovo je ista ranjivost koja je korištena za distribuciju ransomwarea WannaCry i Petya, ranjivost koja omogućuje izvršavanje proizvoljnog koda na glavnom računalu. Na jednom od ranjivih čvorova postojala je sesija administratora domene - "iskoristi i uzmi." Što možete, nije vrijeme sve naučilo.
"Bastervilleov pas"
Klasici informacijske sigurnosti vole ponavljati da je najslabija točka svakog sustava osoba. Primijetili ste da gornji naslov ne odgovara nazivu trgovine? Možda nisu svi tako pažljivi.
U najboljim tradicijama phishing blockbustera, Tom Hunter registrirao je domenu koja se za jedno slovo razlikuje od domene “Baskervilleski psi”. Poštanska adresa na ovoj domeni oponašala je adresu službe za informacijsku sigurnost trgovine. Tijekom 4 dana od 16:00 do 17:00, sljedeće je pismo ravnomjerno poslano na 360 adresa s lažne adrese:
Možda je samo vlastita lijenost spasila zaposlenike od masovnog curenja lozinki. Od 360 pisama otvoreno je samo 61 - zaštitarska služba nije baš popularna. Ali tada je bilo lakše.
Stranica za krađu identiteta
46 ljudi kliknulo je na poveznicu, a gotovo polovica - 21 zaposlenik - nije pogledala adresnu traku i mirno je unijela svoje prijave i lozinke. Dobar ulov, Tom.
Wi-Fi mreža
Sada više nije trebalo računati na pomoć mačke. Tom Hunter bacio je nekoliko komada željeza u svoju staru limuzinu i otišao u ured Baskervilleskog psa. Njegov posjet nije bio dogovoren: Tom je namjeravao testirati korisnikov Wi-Fi. Na parkiralištu poslovnog centra bilo je nekoliko slobodnih mjesta koja su zgodno uvrštena u perimetar ciljane mreže. Očigledno, nisu puno razmišljali o njegovom ograničenju - kao da su administratori nasumično bockali dodatne bodove kao odgovor na bilo kakvu pritužbu na slab Wi-Fi.
Kako funkcionira WPA/WPA2 PSK sigurnost? Enkripciju između pristupne točke i klijenata osigurava ključ prije sesije - Pairwise Transient Key (PTK). PTK koristi Pre-Shared Key i pet drugih parametara - SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), pristupnu točku i MAC adrese klijenta. Tom je presreo svih pet parametara i sada je nedostajao samo Pre-Shared Key.
Uslužni program Hashcat preuzeo je ovu vezu koja nedostaje za otprilike 50 minuta - i naš je heroj završio u mreži za goste. Iz njega se već moglo vidjeti radni - čudno, ovdje je Tom uspio lozinku za oko devet minuta. I sve to bez napuštanja parkinga, bez ikakvog VPN-a. Radna mreža otvorila je prostor za monstruozne aktivnosti za našeg heroja, ali on... nikada nije dodao bonuse na karticu trgovine.
Tom je zastao, pogledao na sat, bacio par novčanica na stol i, pozdravivši se, izašao iz kafića. Možda je opet pentest, ili je možda in Mislio sam napisati...
Izvor: www.habr.com