I ritardi nella firma sono comuni per qualsiasi grande azienda. L'accordo tra Tom Hunter e una catena di negozi di animali per un approfondito pentest non ha fatto eccezione. Abbiamo dovuto controllare il sito web, la rete interna e persino il Wi-Fi funzionante.
Non sorprende che mi prudessero le mani ancor prima che tutte le formalità fossero state sbrigate. Bene, basta scansionare il sito per ogni evenienza, è improbabile che un negozio così noto come "The Hound of the Baskervilles" commetta errori qui. Un paio di giorni dopo, a Tom è stato finalmente consegnato il contratto originale firmato - in questo momento, davanti alla terza tazza di caffè, Tom del CMS interno ha valutato con interesse lo stato dei magazzini...
Fonte:
Ma non è stato possibile gestire molto nel CMS: gli amministratori del sito hanno bandito l'IP di Tom Hunter. Anche se sarebbe possibile avere il tempo di generare bonus sulla carta del negozio e nutrire il tuo amato gatto a buon mercato per molti mesi... "Non questa volta, Darth Sidious", pensò Tom con un sorriso. Non sarebbe meno interessante passare dall’area del sito alla rete locale del cliente, ma a quanto pare questi segmenti non sono collegati per il cliente. Tuttavia, ciò accade più spesso nelle aziende molto grandi.
Dopo aver sbrigato tutte le formalità, Tom Hunter si è armato dell'account VPN fornito ed è andato alla rete locale del cliente. L'account era all'interno del dominio Active Directory, quindi era possibile eseguire il dump di AD senza trucchi speciali, prosciugando tutte le informazioni disponibili pubblicamente sugli utenti e sulle macchine funzionanti.
Tom ha avviato l'utilità adfind e ha iniziato a inviare richieste LDAP al controller di dominio. Con un filtro sulla classe objectСategory, specificando person come attributo. La risposta è arrivata con la seguente struttura:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZOltre a queste c'erano molte informazioni utili, ma la più interessante era nel campo >descrizione: >descrizione. Questo è un commento su un account, fondamentalmente un posto comodo dove tenere appunti minori. Ma gli amministratori del cliente hanno deciso che anche le password potevano restare lì in silenzio. Chi, dopo tutto, potrebbe essere interessato a tutti questi insignificanti documenti ufficiali? Quindi i commenti ricevuti da Tom sono stati:
Создал Администратор, 2018.11.16 7po!*VqnNon è necessario essere uno scienziato missilistico per capire perché la combinazione alla fine è utile. Tutto ciò che rimaneva era analizzare il grande file di risposta dal CD utilizzando il campo >descrizione: ed eccoli qui: 20 coppie login-password. Inoltre, quasi la metà ha diritti di accesso al PSR. Non è una brutta testa di ponte, è ora di dividere le forze attaccanti.
rete
Gli accessibili Hounds of the Baskerville ricordano una grande città in tutto il suo caos e imprevedibilità. Con i profili utente e RDP, Tom Hunter era un ragazzo al verde in questa città, ma anche lui riusciva a vedere molte cose attraverso le finestre lucenti della politica di sicurezza.
Parti di file server, conti contabili e persino script ad essi associati sono stati tutti resi pubblici. Nelle impostazioni di uno di questi script, Tom ha trovato l'hash MS SQL di un utente. Una piccola magia di forza bruta e l'hash dell'utente si è trasformato in una password in semplice testo. Grazie a John Lo Squartatore e Hashcat.
Questa chiave avrebbe dovuto adattarsi a qualche baule. La cassa fu trovata e, inoltre, ad essa furono associate altre dieci “casse”. E all'interno dei sei laici... diritti di superutente, sistema di autorità! Su due di essi siamo stati in grado di eseguire la procedura memorizzata xp_cmdshell e inviare comandi cmd a Windows. Cosa si può volere di più?
Controller di dominio
Tom Hunter ha preparato il secondo colpo per i controller di dominio. Ce n'erano tre nella rete "Dogs of the Baskervilles", in base al numero di server geograficamente remoti. Ogni controller di dominio ha una cartella pubblica, come una vetrina aperta in un negozio, vicino alla quale bazzica lo stesso povero ragazzo Tom.
E questa volta il ragazzo è stato di nuovo fortunato: si sono dimenticati di rimuovere lo script dalla vetrina, dove la password dell'amministratore del server locale era codificata. Quindi il percorso del controller di dominio era aperto. Entra, Tom!
Qui è stato tirato fuori il cappello magico , che ha tratto profitto da diversi amministratori di dominio. Tom Hunter ha avuto accesso a tutte le macchine della rete locale e la risata diabolica ha spaventato il gatto dalla sedia accanto. Questo percorso è stato più breve del previsto.
EternalBlue
Il ricordo di WannaCry e Petya è ancora vivo nella mente dei pentester, ma alcuni amministratori sembrano essersi dimenticati del ransomware nel flusso di altre notizie serali. Tom ha scoperto tre nodi con una vulnerabilità nel protocollo SMB: CVE-2017-0144 o EternalBlue. Si tratta della stessa vulnerabilità utilizzata per distribuire i ransomware WannaCry e Petya, una vulnerabilità che consente l'esecuzione di codice arbitrario su un host. Su uno dei nodi vulnerabili si è verificata una sessione di amministrazione del dominio: "exploit and get it". Cosa puoi fare, il tempo non ha insegnato a tutti.
"Il cane di Basterville"
I classici della sicurezza informatica amano ripetere che il punto più debole di ogni sistema è la persona. Noti che il titolo qui sopra non corrisponde al nome del negozio? Forse non tutti sono così attenti.
Nella migliore tradizione dei blockbuster del phishing, Tom Hunter ha registrato un dominio che differisce di una lettera dal dominio “Hounds of the Baskervilles”. L'indirizzo postale su questo dominio imitava l'indirizzo del servizio di sicurezza delle informazioni del negozio. Nel corso di 4 giorni dalle 16:00 alle 17:00, da un indirizzo falso è stata inviata uniformemente a 360 indirizzi la seguente lettera:
Forse solo la loro pigrizia ha salvato i dipendenti dalla fuga di massa di password. Su 360 lettere, solo 61 sono state aperte: il servizio di sicurezza non è molto popolare. Ma poi è stato più facile.
Pagina di phishing
46 persone hanno cliccato sul collegamento e quasi la metà - 21 dipendenti - non ha guardato la barra degli indirizzi e ha inserito con calma login e password. Bella cattura, Tom.
Rete Wi-Fi
Ora non c'era più bisogno di contare sull'aiuto del gatto. Tom Hunter gettò diversi pezzi di ferro nella sua vecchia berlina e si recò nell'ufficio del Mastino dei Baskerville. La sua visita non era concordata: Tom avrebbe testato il Wi-Fi del cliente. Nel parcheggio del centro direzionale erano presenti diversi posti liberi opportunamente inseriti nel perimetro della rete di destinazione. Apparentemente, non hanno pensato molto alla sua limitazione, come se gli amministratori avessero inserito casualmente punti aggiuntivi in risposta a qualsiasi reclamo relativo al Wi-Fi debole.
Come funziona la sicurezza WPA/WPA2 PSK? La crittografia tra il punto di accesso e i client è fornita da una chiave pre-sessione: Pairwise Transient Key (PTK). PTK utilizza la chiave precondivisa e altri cinque parametri: SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), punto di accesso e indirizzi MAC del client. Tom ha intercettato tutti e cinque i parametri e ora mancava solo la chiave pre-condivisa.
L'utilità Hashcat ha scaricato questo collegamento mancante in circa 50 minuti e il nostro eroe è finito nella rete ospite. Da lì potevi già vedere quello funzionante: stranamente, qui Tom è riuscito a ottenere la password in circa nove minuti. E tutto questo senza uscire dal parcheggio, senza alcuna VPN. La rete di lavoro ha aperto la possibilità di attività mostruose al nostro eroe, ma lui... non ha mai aggiunto bonus alla carta del negozio.
Tom si fermò, guardò l'orologio, gettò un paio di banconote sul tavolo e, salutandosi, lasciò il bar. Forse è di nuovo un pentest, o forse ci sta Ho pensato di scrivere...
Fonte: habr.com