Az aláírás késése minden nagyvállalatnál gyakori. Ez alól a Tom Hunter és az egyik kisállat-áruházlánc közötti megállapodás sem volt kivétel. Ellenőriznünk kellett a webhelyet, a belső hálózatot, és még a működő Wi-Fi-t is.
Nem meglepő, hogy már az összes formaság elintézése előtt is viszketett a kezem. Nos, csak nézze át az oldalt minden esetre, nem valószínű, hogy egy olyan jól ismert üzlet, mint a „Baskerville-i kopó” hibázik itt. Néhány nappal később Tom végre kézhez kapta az aláírt eredeti szerződést – ekkor, a harmadik bögre kávénál Tom a belső CMS-től érdeklődve mérte fel a raktárak állapotát...
Forrás:
De nem lehetett sokat kezelni a CMS-ben - a webhely rendszergazdái betiltották Tom Hunter IP-jét. Bár lehetséges lenne bónuszokat generálni a bolti kártyán, és sok hónapig olcsón megetetni szeretett macskáját... „Ezúttal nem, Darth Sidious” – gondolta Tom mosolyogva. Nem kevésbé érdekes lenne a webhely területéről az ügyfél helyi hálózatába eljutni, de láthatóan ezek a szegmensek nem kapcsolódnak össze az ügyfél számára. Mégis, ez gyakrabban fordul elő nagyon nagy cégeknél.
Az összes formalitás után Tom Hunter felfegyverkezte magát a megadott VPN-fiókkal, és az ügyfél helyi hálózatához ment. A fiók az Active Directory tartományon belül volt, így az AD-t különösebb trükkök nélkül lehetett kiíratni – elszívta az összes nyilvánosan elérhető információt a felhasználókról és a működő gépekről.
Tom elindította az adfind segédprogramot, és LDAP kéréseket kezdett küldeni a tartományvezérlőnek. Szűrővel az objectСategory osztályon, attribútumként megadva a személyt. A válasz a következő szerkezettel érkezett vissza:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZEzen kívül még sok hasznos információ volt, de a legérdekesebb a >leírás: >leírás mezőben volt. Ez egy megjegyzés egy fiókhoz – alapvetően kényelmes hely kisebb jegyzetek vezetésére. De az ügyfél adminisztrátorai úgy döntöttek, hogy a jelszavak is nyugodtan ülhetnek ott. Végül is kit érdekelhetnek ezek a jelentéktelen hivatalos iratok? Tehát a megjegyzések Tomhoz a következők voltak:
Создал Администратор, 2018.11.16 7po!*VqnNem kell rakétatudósnak lenned ahhoz, hogy megértsd, miért hasznos a végén található kombináció. Nem maradt más hátra, mint a CD-ről a >leírás mező segítségével elemezni a nagy válaszfájlt: és íme - 20 bejelentkezési-jelszó pár. Ezen túlmenően csaknem fele rendelkezik RDP hozzáférési jogokkal. Nem rossz hídfőállás, ideje megosztani a támadó erőket.
hálózat
A megközelíthető Hounds of the Baskerville labdák egy nagyvárosra emlékeztettek annak teljes káoszában és kiszámíthatatlanságában. Felhasználói és RDP-profilokkal Tom Hunter tönkrement fiú volt ebben a városban, de még neki is sikerült sok mindent átlátnia a biztonságpolitika csillogó ablakain keresztül.
A fájlszerverek egyes részeit, a könyvelési fiókokat, sőt a hozzájuk kapcsolódó szkripteket is nyilvánosságra hozták. Az egyik ilyen szkript beállításaiban Tom megtalálta az egyik felhasználó MS SQL-kivonatát. Egy kis brute force varázslat – és a felhasználó hash-je egyszerű szöveges jelszóvá változott. Köszönet John The Rippernek és Hashcatnek.
Ennek a kulcsnak el kellett volna illeszkednie egy kis ládához. A ládát megtalálták, sőt mi több, még tíz „ládát” társítottak hozzá. A hat belsejében pedig... szuperfelhasználói jogok, nt jogosultsági rendszer feküdt! Kettőn tudtuk futtatni az xp_cmdshell tárolt eljárást, és cmd parancsokat küldeni a Windowsnak. Mit kívánhatna még?
Domainvezérlők
Tom Hunter előkészítette a második csapást a tartományvezérlőkre. Három volt belőlük a „Dogs of the Baskervilles” hálózatban, a földrajzilag távoli szerverek számának megfelelően. Minden tartományvezérlőnek van egy nyilvános mappája, mint egy nyitott vitrin egy boltban, aminek közelében ugyanaz a szegény fiú, Tom lóg.
És ezúttal ismét szerencséje volt a srácnak - elfelejtették eltávolítani a szkriptet a vitrinről, ahol a helyi szerver adminisztrátori jelszava volt bekódolva. Tehát a tartományvezérlő elérési útja nyitva volt. Gyere be, Tom!
Itt a varázskalapot húzták , aki több domain rendszergazdából profitált. Tom Hunter hozzáfért a helyi hálózat összes gépéhez, és az ördögi nevetéstől a macskát leriasztotta a szomszédos székről. Ez az útvonal rövidebb volt a vártnál.
EternalBlue
WannaCry és Petya emléke még mindig él a pentesztelők elméjében, de úgy tűnik, egyes adminisztrátorok megfeledkeztek a ransomware-ről a többi esti hírfolyamban. Tom három csomópontot fedezett fel az SMB protokollban – a CVE-2017-0144 vagy az EternalBlue – sérülékenységgel. Ez ugyanaz a sérülékenység, amelyet a WannaCry és Petya ransomware terjesztéséhez használtak, amely biztonsági rés tetszőleges kód futtatását teszi lehetővé egy gazdagépen. Az egyik sebezhető csomóponton volt egy domain adminisztrátori munkamenet – „használd ki és szerezd meg”. Mit tehet, az idő nem tanított meg mindenkit.
"A Basterville kutyája"
Az információbiztonság klasszikusai szeretik ismételni, hogy minden rendszer leggyengébb pontja az ember. Észreveszi, hogy a fenti címsor nem egyezik az üzlet nevével? Talán nem mindenki ennyire figyelmes.
Az adathalász kasszasikerek legjobb hagyományai szerint Tom Hunter egy olyan domaint regisztrált, amely egy betűvel különbözik a „Baskerville-i kopók” domaintől. Az ezen a domainen lévő levelezési cím az áruház információbiztonsági szolgálatának címét utánozta. 4 nap leforgása alatt 16:00 és 17:00 között egységesen 360 címre küldték ki hamis címről az alábbi levelet:
Talán csak a saját lustaságuk mentette meg az alkalmazottakat a jelszavak tömeges kiszivárogtatásától. 360 levélből csak 61-et nyitottak fel – a biztonsági szolgálat nem túl népszerű. De aztán könnyebb volt.
Adathalász oldal
46-an kattintottak a linkre, és csaknem fele - 21 alkalmazott - nem nézett a címsorba, és nyugodtan megadta bejelentkezési adatait és jelszavát. Szép fogás, Tom.
Wi-Fi hálózat
Most már nem kellett számítani a macska segítségére. Tom Hunter több vasdarabot dobott régi szedánjába, és a Baskerville-i kopó irodájába ment. Látogatásáról nem született megállapodás: Tom tesztelni akarta az ügyfél Wi-Fi-jét. Az üzleti központ parkolójában több szabad hely volt, amelyek kényelmesen beépültek a célhálózat kerületébe. Úgy tűnik, nem sokat gondolkodtak a korlátozásán – mintha a rendszergazdák véletlenszerűen további pontokat húztak volna a gyenge Wi-Fi-vel kapcsolatos panaszokra.
Hogyan működik a WPA/WPA2 PSK biztonság? A hozzáférési pont és a kliensek közötti titkosítást egy munkamenet előtti kulcs – Pairwise Transient Key (PTK) biztosítja. A PTK az előre megosztott kulcsot és öt további paramétert használja – SSID, Authenticator Noounce (ANounce), Supplicant Noounce (SNounce), hozzáférési pont és ügyfél MAC-címe. Tom mind az öt paramétert elfogta, és most már csak az előre megosztott kulcs hiányzott.
A Hashcat segédprogram körülbelül 50 perc alatt letöltötte ezt a hiányzó linket – és hősünk a vendéghálózatban kötött ki. Abból már látszott a működő - furcsa módon itt Tomnak nagyjából kilenc perc alatt sikerült a jelszó. És mindezt anélkül, hogy elhagyná a parkolót, VPN nélkül. A működő hálózat szörnyű tevékenységekre nyitott teret hősünk számára, de ő... soha nem adott hozzá bónuszokat az üzletkártyához.
Tom megállt, az órájára nézett, az asztalra dobott néhány bankjegyet, és elköszönve elhagyta a kávézót. Lehet, hogy megint pentest, vagy talán bekerült Gondoltam írok...
Forrás: will.com