Tafir á undirritun eru algengar fyrir öll stór fyrirtæki. Samkomulagið milli Tom Hunter og einnar gæludýraverslunarkeðju um ítarlega rannsókn var engin undantekning. Við þurftum að athuga vefsíðuna, innra netið og jafnvel virka Wi-Fi.
Það kemur ekki á óvart að mér klæjaði í hendurnar jafnvel áður en öll formsatriði voru gerð. Jæja, skannaðu bara síðuna til öryggis, það er ólíklegt að svo þekkt verslun eins og „The Hound of the Baskervilles“ geri mistök hér. Nokkrum dögum síðar var Tom loksins afhentur undirritaður upphaflegi samningurinn - á þessum tíma, yfir þriðju kaffibollanum, mat Tom frá innri CMS af áhuga ástand vöruhúsanna...
Heimild:
En það var ekki hægt að stjórna miklu í CMS - síðustjórarnir bönnuðu IP Tom Hunter. Þó það væri hægt að hafa tíma til að búa til bónusa á verslunarkortinu og gefa elskaða köttinn þinn ódýrt í marga mánuði... „Ekki í þetta skiptið, Darth Sidious,“ hugsaði Tom brosandi. Það væri ekki síður áhugavert að fara frá vefsíðusvæðinu yfir á staðarnet viðskiptavinarins, en greinilega eru þessir hlutir ekki tengdir fyrir viðskiptavininn. Þetta gerist samt oftar í mjög stórum fyrirtækjum.
Eftir öll formsatriðin vopnaði Tom Hunter sig með VPN-reikningnum sem fylgir með og fór á staðarnet viðskiptavinarins. Reikningurinn var inni á Active Directory léninu, svo það var hægt að dumpa AD án sérstakra brellna - tæma allar opinberar upplýsingar um notendur og vinnuvélar.
Tom setti upp adfind tólið og byrjaði að senda LDAP beiðnir til lénsstýringarinnar. Með síu á objectСategory bekknum, tilgreina persónu sem eigind. Svarið kom til baka með eftirfarandi uppbyggingu:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZÞessu til viðbótar var mikið af gagnlegum upplýsingum, en áhugaverðast var í >lýsingu: >lýsingu. Þetta er athugasemd við reikning - í grundvallaratriðum hentugur staður til að halda minniháttar athugasemdum. En stjórnendur viðskiptavinarins ákváðu að lykilorðin gætu líka setið þar hljóðlega. Hver, þegar allt kemur til alls, gæti haft áhuga á öllum þessum ómerkilegu opinberu skrám? Svo ummælin sem Tom fékk voru:
Создал Администратор, 2018.11.16 7po!*VqnÞú þarft ekki að vera eldflaugafræðingur til að skilja hvers vegna samsetningin í lokin er gagnleg. Það eina sem eftir stóð var að flokka stóru svarskrána af geisladiskinum með því að nota >lýsingarreitinn: og hér voru þau - 20 innskráningar-lykilorðspör. Þar að auki hefur næstum helmingur RDP aðgangsrétt. Ekki slæmur brúarhaus, kominn tími til að skipta árásarsveitunum.
net
Hinir aðgengilegu Hounds of the Baskerville boltar minntu á stórborg í öllum sínum glundroða og óútreiknanleika. Með notenda- og RDP prófíla var Tom Hunter blökkumaður í þessari borg, en jafnvel honum tókst að sjá margt í gegnum glansandi glugga öryggisstefnunnar.
Hlutar skráaþjóna, bókhaldsreikninga og jafnvel forskriftir tengdar þeim voru allir gerðir opinberir. Í stillingum eins af þessum forskriftum fann Tom MS SQL kjötkássa eins notanda. Smá töfrakraftur - og hass notandans breyttist í látlaus textalykilorð. Þökk sé John The Ripper og Hashcat.
Þessi lykill ætti að passa við einhverja brjóst. Kistan fannst og það sem meira er, tíu „kistur“ voru tengdar henni. Og inni í sexunni lá... ofurnotendaréttindi, nt heimildarkerfi! Á tveimur þeirra gátum við keyrt xp_cmdshell geymt ferli og sent cmd skipanir til Windows. Hvað meira gætirðu viljað?
Lénsstýringar
Tom Hunter undirbjó annað höggið fyrir lénsstýringar. Þeir voru þrír í „Dogs of the Baskervilles“ netinu, í samræmi við fjölda landfræðilega fjarlægra netþjóna. Hver lénsstýring er með opinbera möppu, eins og opinn sýningarskáp í verslun, nálægt henni hangir sami vesalings drengurinn Tom.
Og í þetta skiptið var gaurinn aftur heppinn - þeir gleymdu að fjarlægja handritið af skjánum, þar sem lykilorðið fyrir stjórnanda netþjónsins var harðkóða. Svo leiðin að lénsstýringunni var opin. Komdu inn, Tom!
Hér frá var töfrahattan dregin , sem hagnaðist á nokkrum lénsstjórum. Tom Hunter fékk aðgang að öllum vélum staðarnetsins og djöfullegi hláturinn hræddi köttinn úr næsta stól. Þessi leið var styttri en búist var við.
Eilíft blátt
Minningin um WannaCry og Petya er enn á lífi í hugum pentesters, en sumir stjórnendur virðast hafa gleymt lausnarhugbúnaði í streymi annarra kvöldfrétta. Tom uppgötvaði þrjá hnúta með varnarleysi í SMB samskiptareglunum - CVE-2017-0144 eða EternalBlue. Þetta er sama varnarleysið og notað var til að dreifa WannaCry og Petya lausnarhugbúnaðinum, varnarleysi sem gerir kleift að keyra handahófskenndan kóða á hýsil. Á einum af viðkvæmu hnútunum var lénsstjórnunarfundur - „nýttu og náðu í það. Hvað er hægt að gera, tíminn hefur ekki kennt öllum.
"The Basterville's Dog"
Klassískt upplýsingaöryggi eins og að endurtaka að veikasti punktur hvers kerfis er manneskjan. Taktu eftir því að fyrirsögnin hér að ofan passar ekki við nafn verslunarinnar? Kannski eru ekki allir svona gaumgæfir.
Í bestu hefðum stórmyndaveiða, skráði Tom Hunter lén sem er einum bókstaf frábrugðið „Hounds of the Baskervilles“ léninu. Póstfangið á þessu léni líkti eftir heimilisfangi upplýsingaöryggisþjónustu verslunarinnar. Á 4 dögum frá 16:00 til 17:00 var eftirfarandi bréf sent á 360 heimilisföng frá fölsku heimilisfangi:
Kannski bjargaði aðeins þeirra eigin leti starfsmönnum frá fjöldaleka lykilorða. Af 360 bréfum var aðeins 61 opnað - öryggisþjónustan er ekki mjög vinsæl. En svo var það auðveldara.
Vefveiðar síða
46 manns smelltu á hlekkinn og tæplega helmingur - 21 starfsmaður - leit ekki á veffangastikuna og slógu inn notandanafn og lykilorð í rólegheitum. Fínn gripur, Tom.
Wi-Fi net
Nú var óþarfi að treysta á hjálp kattarins. Tom Hunter henti nokkrum járnstykkjum í gamla fólksbílinn sinn og fór á skrifstofu Hound of the Baskervilles. Ekki var samið um heimsókn hans: Tom ætlaði að prófa Wi-Fi internet viðskiptavinarins. Á bílastæði viðskiptamiðstöðvarinnar voru nokkur laus pláss sem voru þægilega innifalin í jaðri marknetsins. Svo virðist sem þeir hafi ekki hugsað mikið um takmörkun þess - eins og stjórnendur væru að pota í aukapunkta af handahófi til að bregðast við kvörtun um veikt Wi-Fi.
Hvernig virkar WPA/WPA2 PSK öryggi? Dulkóðun milli aðgangsstaðarins og viðskiptavina er veitt með lykli fyrir lotu - Pairwise Transient Key (PTK). PTK notar Pre-Shared Key og fimm aðrar breytur - SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), aðgangsstað og MAC vistföng viðskiptavinar. Tom stöðvaði allar fimm færibreyturnar og nú vantaði aðeins Pre-Shared Key.
Hashcat tólið hlóð niður þessum týnda hlekk á um það bil 50 mínútum - og hetjan okkar endaði á gestanetinu. Þaðan gat þú nú þegar séð það sem virkar - einkennilega séð, hér tókst Tom lykilorðinu á um það bil níu mínútum. Og allt þetta án þess að yfirgefa bílastæðið, án nokkurs VPN. Vinnukerfið opnaði svigrúm fyrir voðalega athafnir fyrir hetjuna okkar, en hann... bætti aldrei bónusum við verslunarkortið.
Tom þagði, horfði á úrið sitt, kastaði nokkrum seðlum á borðið og, þegar hann kvaddi, yfirgaf hann kaffihúsið. Kannski er þetta pentest aftur, eða kannski er það inni Mér datt í hug að skrifa...
Heimild: www.habr.com