Tomo Hunterio dienoraštis: „Baskervilių skalikas“

Vėlavimas pasirašyti yra įprastas bet kuriai didelei įmonei. Ne išimtis buvo ir susitarimas tarp Tomo Hunterio ir vienos naminių gyvūnėlių parduotuvės tinklo dėl kruopštaus bandymo. Turėjome patikrinti svetainę, vidinį tinklą ir net veikiantį „Wi-Fi“.

Nenuostabu, kad rankos niežėjo dar nesutvarkius visų formalumų. Na, tik tam atvejui nuskaitykite svetainę, vargu ar tokia gerai žinoma parduotuvė kaip „Baskervilių skalikas“ čia suklys. Po poros dienų Tomui pagaliau buvo pristatyta pasirašyta originali sutartis – šiuo metu prie trečiojo puodelio kavos Tomas iš vidinės TVS su susidomėjimu įvertino sandėlių būklę...

Šaltinis: Ehsanas Taebloo

Tačiau TVS nebuvo įmanoma daug valdyti - svetainės administratoriai uždraudė Tom Hunter IP. Nors būtų galima turėti laiko sugeneruoti premijas parduotuvės kortelėje ir pigiai šerti savo mylimą katę ilgus mėnesius... „Šį kartą ne, Darth Sidious“, – šypsodamasis pagalvojo Tomas. Ne mažiau įdomu būtų iš svetainės srities pereiti prie kliento vietinio tinklo, tačiau, matyt, šie segmentai klientui nesusiję. Visgi tai dažniau nutinka labai didelėse įmonėse.

Po visų formalumų Tomas Hunteris apsiginklavo pateikta VPN paskyra ir nuėjo į kliento vietinį tinklą. Paskyra buvo Active Directory domeno viduje, todėl buvo galima išmesti AD be jokių ypatingų gudrybių – nusausinant visą viešai prieinamą informaciją apie vartotojus ir dirbančias mašinas.

Tomas paleido adfind įrankį ir pradėjo siųsti LDAP užklausas į domeno valdiklį. Su filtru objekto kategorijoje, nurodant asmenį kaip atributą. Atsakymas grįžo su tokia struktūra:

dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0Z

Be to, buvo daug naudingos informacijos, bet įdomiausia buvo laukelyje >aprašas: >aprašas. Tai yra paskyros komentaras – iš esmės patogi vieta smulkiems užrašams laikyti. Tačiau kliento administratoriai nusprendė, kad slaptažodžiai taip pat gali ramiai sėdėti. Galų gale, kam gali būti įdomūs visi šie nereikšmingi oficialūs įrašai? Taigi Tomas gavo tokius komentarus:

Создал Администратор, 2018.11.16 7po!*Vqn

Nereikia būti raketų mokslininku, kad suprastum, kodėl derinys pabaigoje yra naudingas. Liko tik išanalizuoti didelį atsakymo failą iš kompaktinio disko naudojant >aprašo lauką: ir štai jie buvo - 20 prisijungimo slaptažodžių porų. Be to, beveik pusė turi KPP prieigos teises. Neblogas placdarmas, laikas padalinti puolančias pajėgas.

tinklą

Pasiekiami Baskervilio skalikų kamuoliai priminė didelį miestą visu chaosu ir nenuspėjamumu. Turėdamas vartotojo ir KPP profilius, Tomas Hunteris buvo palaužtas berniukas šiame mieste, tačiau net ir jam pavyko daug ką pamatyti pro spindinčius saugumo politikos langus.

Dalis failų serverių, apskaitos paskyrų ir net su jomis susieti scenarijai buvo paviešinti. Vieno iš šių scenarijų nustatymuose Tomas rado vieno vartotojo MS SQL maišą. Šiek tiek brutalios jėgos magijos – ir vartotojo maiša virto paprasto teksto slaptažodžiu. Ačiū Johnui Skerdikiui ir Hashcat.

Šis raktas turėjo tikti prie krūtinės. Skrynia buvo rasta, be to, su ja buvo susieta dar dešimt "skrynių". O šešių viduje gulėjo... supervartotojo teisės, nt autoritetų sistema! Dviejuose iš jų galėjome paleisti xp_cmdshell saugomą procedūrą ir siųsti cmd komandas į Windows. Ko daugiau gali norėti?

Domeno valdikliai

Tomas Hunteris paruošė antrą smūgį domeno valdikliams. „Baskervilių šunų“ tinkle jų buvo trys, atsižvelgiant į geografiškai nutolusių serverių skaičių. Kiekvienas domeno valdiklis turi viešą aplanką, tarsi atidarytą vitriną parduotuvėje, prie kurios kabo tas pats vargšas berniukas Tomas.

Ir šį kartą vaikinui vėl pasisekė – jie pamiršo išimti scenarijų iš vitrinos, kurioje buvo užkoduotas vietinio serverio administratoriaus slaptažodis. Taigi kelias į domeno valdiklį buvo atviras. Įeik, Tomai!

Čia iš stebuklingos kepurės buvo ištraukta mimikatz, kuris pelnėsi iš kelių domeno administratorių. Tomas Hanteris gavo prieigą prie visų vietinio tinklo mašinų, o velniškas juokas išgąsdino katę nuo šalia esančios kėdės. Šis maršrutas buvo trumpesnis nei tikėtasi.

„EternalBlue“

WannaCry ir Petya atminimas vis dar gyvas pentestuotojų mintyse, tačiau atrodo, kad kai kurie administratoriai pamiršo apie išpirkos reikalaujančias programas kitų vakaro naujienų sraute. Tomas aptiko tris mazgus su pažeidžiamumu SMB protokole – CVE-2017-0144 arba EternalBlue. Tai yra tas pats pažeidžiamumas, kuris buvo naudojamas platinant WannaCry ir Petya išpirkos reikalaujančią programinę įrangą – pažeidžiamumą, leidžiantį pagrindiniame kompiuteryje vykdyti savavališką kodą. Viename iš pažeidžiamų mazgų buvo domeno administratoriaus sesija - „išnaudokite ir gaukite“. Ką gali padaryti, laikas išmokė ne visus.

"Bastervilio šuo"

Informacijos saugumo klasikai mėgsta kartoti, kad silpniausia bet kurios sistemos vieta yra žmogus. Pastebite, kad aukščiau esanti antraštė neatitinka parduotuvės pavadinimo? Galbūt ne visi tokie dėmesingi.

Laikydamasis geriausių sukčiavimo blokbusų tradicijų, Tomas Hunteris užregistravo domeną, kuris viena raide skiriasi nuo „Baskervilio šunų“ domeno. Pašto adresas šiame domene imitavo parduotuvės informacijos saugos tarnybos adresą. Per 4 dienas nuo 16:00 iki 17:00 360 adresais iš netikro adreso buvo vienodai išsiųstas toks laiškas:

Galbūt tik jų pačių tinginystė išgelbėjo darbuotojus nuo masinio slaptažodžių nutekėjimo. Iš 360 laiškų buvo atidarytas tik 61 – saugos tarnyba nėra labai populiari. Bet tada buvo lengviau.

Sukčiavimo puslapis

Nuorodą paspaudė 46 žmonės ir beveik pusė – 21 darbuotojas – nežiūrėjo į adreso juostą ir ramiai įvedė savo prisijungimo vardus ir slaptažodžius. Puikus laimikis, Tomai.

„Wi-Fi“ tinklas

Dabar nebereikėjo tikėtis katės pagalbos. Tomas Hunteris įmetė keletą geležies gabalų į savo seną sedaną ir nuėjo į Baskervilų skaliko biurą. Dėl jo vizito nebuvo susitarta: Tomas ketino išbandyti kliento „Wi-Fi“. Verslo centro automobilių stovėjimo aikštelėje buvo keletas laisvų vietų, kurios patogiai buvo įtrauktos į tikslinio tinklo perimetrą. Matyt, jie daug negalvojo apie jo apribojimą – tarsi administratoriai atsitiktinai dėdavo papildomų taškų reaguodami į bet kokį skundą dėl silpno „Wi-Fi“.

Kaip veikia WPA/WPA2 PSK sauga? Šifravimas tarp prieigos taško ir klientų užtikrinamas išankstiniu seanso raktu – Pairwise Transient Key (PTK). PTK naudoja iš anksto bendrinamą raktą ir dar penkis parametrus – SSID, Authenticator Noounce (ANounce), Supplicant Noounce (SNounce), prieigos taško ir kliento MAC adresus. Tomas perėmė visus penkis parametrus, o dabar trūko tik iš anksto bendrinamo rakto.

„Hashcat“ programa atsisiuntė šią trūkstamą nuorodą per maždaug 50 minučių – ir mūsų herojus atsidūrė svečių tinkle. Iš jo jau matėsi veikiantis – kaip bebūtų keista, čia Tomas slaptažodį susitvarkė per maždaug devynias minutes. Ir visa tai neišeinant iš automobilių stovėjimo aikštelės, be jokio VPN. Veikiantis tinklas atvėrė mūsų herojui galimybių siaubingai veiklai, bet jis... prie parduotuvės kortelės niekada nepridėjo premijų.

Tomas stabtelėjo, pažiūrėjo į laikrodį, metė porą banknotų ant stalo ir atsisveikinęs išėjo iš kavinės. Galbūt tai vėl pentestas, o gal jis įeina telegramos kanalas Sugalvojau parašyti...


Šaltinis: www.habr.com