Keterlambatan penandatanganan adalah hal biasa bagi perusahaan besar mana pun. Perjanjian antara Tom Hunter dan salah satu jaringan toko hewan peliharaan untuk melakukan pentesting secara menyeluruh juga tidak terkecuali. Kami harus memeriksa situs web, jaringan internal, dan bahkan Wi-Fi yang berfungsi.
Tidak mengherankan jika tangan saya terasa gatal bahkan sebelum semua formalitas diselesaikan. Baiklah, pindai saja situsnya untuk berjaga-jaga, kecil kemungkinan toko terkenal seperti “The Hound of the Baskervilles” akan membuat kesalahan di sini. Beberapa hari kemudian, Tom akhirnya menerima kontrak asli yang telah ditandatangani - saat ini, sambil minum kopi ketiga, Tom dari internal CMS menilai dengan penuh minat kondisi gudang...
Sumber:
Namun tidak mungkin mengelola banyak hal di CMS - administrator situs melarang IP Tom Hunter. Meskipun mungkin memiliki waktu untuk menghasilkan bonus di kartu toko dan memberi makan kucing kesayangan Anda dengan harga murah selama berbulan-bulan... “Tidak kali ini, Darth Sidious,” pikir Tom sambil tersenyum. Tidak kalah menariknya jika berpindah dari area situs web ke jaringan lokal pelanggan, namun ternyata segmen ini tidak terhubung dengan klien. Namun, hal ini lebih sering terjadi di perusahaan yang sangat besar.
Setelah semua formalitas selesai, Tom Hunter mempersenjatai dirinya dengan akun VPN yang disediakan dan pergi ke jaringan lokal pelanggan. Akun tersebut berada di dalam domain Direktori Aktif, sehingga dimungkinkan untuk membuang AD tanpa trik khusus apa pun - menguras semua informasi yang tersedia untuk umum tentang pengguna dan mesin yang berfungsi.
Tom meluncurkan utilitas adfind dan mulai mengirimkan permintaan LDAP ke pengontrol domain. Dengan filter pada kelas objectСategory, menentukan person sebagai atribut. Tanggapannya kembali dengan struktur berikut:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZSelain itu, ada banyak informasi berguna, tetapi yang paling menarik ada di kolom >deskripsi: >deskripsi. Ini adalah komentar di akun - pada dasarnya adalah tempat yang nyaman untuk menyimpan catatan kecil. Namun administrator klien memutuskan bahwa kata sandinya juga dapat disimpan dengan tenang. Lagi pula, siapa yang mungkin tertarik dengan semua catatan resmi yang tidak penting ini? Jadi komentar yang diterima Tom adalah:
Создал Администратор, 2018.11.16 7po!*VqnAnda tidak perlu menjadi ilmuwan roket untuk memahami mengapa kombinasi di bagian akhir berguna. Yang tersisa hanyalah mengurai file respon besar dari CD menggunakan kolom >description: dan ini dia - 20 pasangan login-password. Apalagi hampir separuhnya memiliki hak akses RDP. Bukan batu loncatan yang buruk, saatnya memecah kekuatan penyerang.
jaringan
Bola Hounds of the Baskerville yang dapat diakses mengingatkan kita pada kota besar dengan segala kekacauan dan ketidakpastiannya. Dengan profil pengguna dan RDP, Tom Hunter adalah seorang anak miskin di kota ini, namun bahkan dia berhasil melihat banyak hal melalui jendela kebijakan keamanan yang cemerlang.
Bagian dari server file, akun akuntansi, dan bahkan skrip yang terkait dengannya semuanya dipublikasikan. Dalam pengaturan salah satu skrip ini, Tom menemukan hash MS SQL dari satu pengguna. Sedikit keajaiban brute force - dan hash pengguna berubah menjadi kata sandi teks biasa. Terima kasih kepada John The Ripper dan Hashcat.
Kunci ini seharusnya muat di peti. Peti itu ditemukan, dan terlebih lagi, sepuluh “peti” lagi dikaitkan dengannya. Dan di dalam keenamnya terdapat... hak pengguna super, dan sistem otoritas! Pada dua di antaranya kami dapat menjalankan prosedur tersimpan xp_cmdshell dan mengirim perintah cmd ke Windows. Apa lagi yang Anda inginkan?
Pengontrol domain
Tom Hunter menyiapkan pukulan kedua untuk pengontrol domain. Ada tiga di antaranya di jaringan “Dogs of the Baskervilles”, sesuai dengan jumlah server yang secara geografis jauh. Setiap pengontrol domain memiliki folder publik, seperti etalase terbuka di toko, di dekat tempat nongkrong Tom yang malang.
Dan kali ini orang itu beruntung lagi - mereka lupa menghapus skrip dari etalase, di mana kata sandi admin server lokal di-hardcode. Jadi jalur ke pengontrol domain terbuka. Masuklah, Tom!
Di sini dari topi ajaib ditarik , yang mendapat keuntungan dari beberapa administrator domain. Tom Hunter memperoleh akses ke semua mesin di jaringan lokal, dan tawa jahat itu membuat kucing itu takut dari kursi berikutnya. Rute ini lebih pendek dari yang diharapkan.
EternalBlue
Memori WannaCry dan Petya masih hidup di benak para pentester, namun beberapa admin sepertinya sudah melupakan ransomware dalam aliran berita malam lainnya. Tom menemukan tiga node dengan kerentanan dalam protokol SMB - CVE-2017-0144 atau EternalBlue. Ini adalah kerentanan yang sama yang digunakan untuk mendistribusikan ransomware WannaCry dan Petya, kerentanan yang memungkinkan kode arbitrer dieksekusi pada sebuah host. Di salah satu node yang rentan ada sesi admin domain - “eksploitasi dan dapatkan.” Apa yang bisa kamu lakukan, waktu belum mengajari semua orang.
"Anjing Basterville"
Klasik keamanan informasi ingin mengulangi bahwa titik terlemah dari sistem apa pun adalah manusianya. Perhatikan bahwa judul di atas tidak sesuai dengan nama toko? Mungkin tidak semua orang begitu perhatian.
Dalam tradisi terbaik blockbuster phishing, Tom Hunter mendaftarkan domain yang berbeda satu huruf dari domain “Hounds of the Baskervilles”. Alamat surat di domain ini meniru alamat layanan keamanan informasi toko. Selama 4 hari dari pukul 16:00 hingga 17:00, surat berikut dikirim secara seragam ke 360 alamat dari alamat palsu:
Mungkin hanya kemalasan mereka yang menyelamatkan karyawan dari kebocoran kata sandi secara massal. Dari 360 surat, hanya 61 yang dibuka - layanan keamanan tidak terlalu populer. Tapi kemudian menjadi lebih mudah.
Halaman phishing
46 orang mengklik link tersebut dan hampir setengahnya - 21 karyawan - tidak melihat bilah alamat dan dengan tenang memasukkan login dan kata sandi mereka. Tangkapan yang bagus, Tom.
Jaringan Wi-Fi
Sekarang tidak perlu lagi mengandalkan bantuan kucing. Tom Hunter melemparkan beberapa potong besi ke dalam sedan lamanya dan pergi ke kantor Hound of the Baskervilles. Kunjungannya tidak disetujui: Tom akan menguji Wi-Fi pelanggan. Di tempat parkir pusat bisnis terdapat beberapa ruang kosong yang dimasukkan dengan nyaman ke dalam perimeter jaringan target. Rupanya, mereka tidak terlalu memikirkan batasannya - seolah-olah administrator secara acak memberikan poin tambahan sebagai tanggapan atas keluhan apa pun tentang Wi-Fi yang lemah.
Bagaimana cara kerja keamanan WPA/WPA2 PSK? Enkripsi antara titik akses dan klien disediakan oleh kunci pra-sesi - Kunci Transien Berpasangan (PTK). PTK menggunakan Kunci Pra-Berbagi dan lima parameter lainnya - SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), titik akses, dan alamat MAC klien. Tom mencegat kelima parameter tersebut, dan sekarang hanya Kunci Pra-Berbagi yang hilang.
Utilitas Hashcat mengunduh tautan yang hilang ini dalam waktu sekitar 50 menit - dan pahlawan kita berakhir di jaringan tamu. Dari sana Anda sudah dapat melihat kata sandi yang berfungsi - anehnya, di sini Tom mengatur kata sandinya dalam waktu sekitar sembilan menit. Dan semua ini tanpa meninggalkan tempat parkir, tanpa VPN apa pun. Jaringan kerja membuka ruang untuk aktivitas mengerikan bagi pahlawan kita, tapi dia... tidak pernah menambahkan bonus ke kartu toko.
Tom berhenti sejenak, melihat arlojinya, melemparkan beberapa uang kertas ke atas meja dan, mengucapkan selamat tinggal, meninggalkan kafe. Mungkin lagi pentest, atau mungkin sudah masuk Aku berpikir untuk menulis...
Sumber: www.habr.com