Aizkavēšanās ar parakstīšanu ir raksturīga jebkuram lielam uzņēmumam. Vienošanās starp Tomu Hanteru un viena ķēdes zooveikalu par rūpīgu pentestēšanu nebija izņēmums. Mums bija jāpārbauda vietne, iekšējais tīkls un pat strādājošais Wi-Fi.
Nav pārsteidzoši, ka man niezēja rokas vēl pirms visu formalitāšu nokārtošanas. Nu, vienkārši skenējiet vietni katram gadījumam, maz ticams, ka tik labi pazīstams veikals kā "Baskervilu kurts" šeit pieļaus kļūdas. Pēc pāris dienām Tomam beidzot tika piegādāts parakstītais oriģinālais līgums – šajā laikā pie trešās kafijas krūzes Toms no iekšējās CMS ar interesi novērtēja noliktavu stāvokli...
Avots:
Bet CMS nebija iespējams daudz pārvaldīt - vietnes administratori aizliedza Toma Hantera IP. Lai gan būtu iespējams ģenerēt bonusus veikala kartē un daudzus mēnešus pa lēto pabarot savu mīļoto kaķi... "Šoreiz nē, Dārta Sidiaus," Toms smaidot nodomāja. Ne mazāk interesanti būtu pāriet no vietnes apgabala uz klienta lokālo tīklu, taču acīmredzot šie segmenti klientam nav saistīti. Tomēr tas biežāk notiek ļoti lielos uzņēmumos.
Pēc visu formalitāšu nokārtošanas Toms Hanters bruņojās ar sniegto VPN kontu un devās uz klienta vietējo tīklu. Konts atradās Active Directory domēna iekšienē, tāpēc AD bija iespējams izgāzt bez īpašiem trikiem – izsūknējot visu publiski pieejamo informāciju par lietotājiem un darba mašīnām.
Toms palaida adfind utilītu un sāka sūtīt LDAP pieprasījumus domēna kontrollerim. Ar filtru klasē objectCategory, norādot personu kā atribūtu. Atbilde atgriezās ar šādu struktūru:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZPapildus tam bija daudz noderīgas informācijas, bet visinteresantākā bija laukā >apraksts: >apraksts. Šis ir komentārs par kontu – būtībā ērta vieta nelielu piezīmju glabāšanai. Taču klienta administratori nolēma, ka paroles var arī mierīgi sēdēt. Kuru galu galā varētu interesēt visi šie nenozīmīgie oficiālie ieraksti? Tātad Toms saņēma šādus komentārus:
Создал Администратор, 2018.11.16 7po!*VqnNav jābūt raķešu zinātniekam, lai saprastu, kāpēc kombinācija beigās ir noderīga. Atlika tikai parsēt lielo atbildes failu no kompaktdiska, izmantojot >apraksta lauku: un lūk, tie bija - 20 pieteikšanās-paroles pāri. Turklāt gandrīz pusei ir LAP piekļuves tiesības. Nav slikts placdarms, laiks sadalīt uzbrūkošos spēkus.
tīkls
Pieejamie Baskerville hounds balles atgādināja lielu pilsētu visā tās haosā un neparedzamībā. Ar lietotāju un LAP profiliem Toms Hanters šajā pilsētā bija izputējis zēns, taču pat viņam izdevās daudz ko ieraudzīt pa drošības politikas spožajiem logiem.
Failu serveru daļas, grāmatvedības konti un pat ar tiem saistītie skripti tika publiskoti. Viena no šiem skriptiem iestatījumos Toms atrada viena lietotāja MS SQL hash. Nedaudz brutāla spēka maģijas — un lietotāja jaucējkods pārvērtās par vienkārša teksta paroli. Paldies John The Ripper un Hashcat.
Šai atslēgai vajadzētu būt piemērotai krūtīm. Lāde tika atrasta, un turklāt ar to bija saistītas vēl desmit “lādes”. Un sešos iekšā gulēja... superlietotāja tiesības, nt autoritātes sistēma! Divos no tiem mēs varējām palaist xp_cmdshell saglabāto procedūru un nosūtīt cmd komandas sistēmai Windows. Ko vēl var vēlēties?
Domēna kontrolleri
Toms Hanters sagatavoja otro triecienu domēna kontrolleriem. “Baskervilu suņu” tīklā tie bija trīs atbilstoši ģeogrāfiski attālo serveru skaitam. Katram domēna kontrollerim ir publiska mape, piemēram, atvērta vitrīna veikalā, pie kuras turas tas pats nabaga zēns Toms.
Un šoreiz puisim atkal paveicās - viņi aizmirsa noņemt skriptu no vitrīnas, kur tika iekodēta vietējā servera admin parole. Tātad ceļš uz domēna kontrolleri bija atvērts. Nāc iekšā, Tom!
Šeit no burvju cepure tika izvilkta , kurš guva labumu no vairākiem domēna administratoriem. Toms Hanters ieguva piekļuvi visām vietējā tīkla mašīnām, un velnišķīgie smiekli nobiedēja kaķi no blakus krēsla. Šis maršruts bija īsāks nekā gaidīts.
Mūžīgi zils
Atmiņa par WannaCry un Petya joprojām ir dzīva pentesteru prātos, taču šķiet, ka daži administratori ir aizmirsuši par izpirkuma programmatūru citu vakara ziņu plūsmā. Toms atklāja trīs mezglus ar ievainojamību SMB protokolā - CVE-2017-0144 vai EternalBlue. Šī ir tā pati ievainojamība, kas tika izmantota, lai izplatītu WannaCry un Petya ransomware — ievainojamību, kas ļauj resursdatorā izpildīt patvaļīgu kodu. Vienā no ievainojamajiem mezgliem notika domēna administratora sesija — “izmantojiet un iegūstiet to”. Ko darīt, laiks nav iemācījis visiem.
"Bastervilas suns"
Informācijas drošības klasiķiem patīk atkārtot, ka jebkuras sistēmas vājākais punkts ir cilvēks. Vai ievērojat, ka virsraksts neatbilst veikala nosaukumam? Varbūt ne visi ir tik uzmanīgi.
Pēc labākajām pikšķerēšanas grāvēju tradīcijām Toms Hanters reģistrēja domēnu, kas ar vienu burtu atšķiras no domēna “Baskervilu suņi”. Pasta adrese šajā domēnā atdarināja veikala informācijas drošības dienesta adresi. 4 dienu laikā no 16:00 līdz 17:00 uz 360 adresēm no viltotas adreses vienoti tika nosūtīta šāda vēstule:
Iespējams, tikai viņu pašu slinkums izglāba darbiniekus no masveida paroļu noplūdes. No 360 vēstulēm atvērta tikai 61 - drošības dienests nav īpaši populārs. Bet tad bija vieglāk.
Pikšķerēšanas lapa
Uz saites noklikšķināja 46 cilvēki un gandrīz puse - 21 darbinieks - nepaskatījās adreses joslā un mierīgi ievadīja savus pieteikumvārdus un paroles. Labs loms, Tom.
Wi-Fi tīkls
Tagad vairs nebija jārēķinās ar kaķa palīdzību. Toms Hanters iemeta vairākus dzelzs gabalus savā vecajā sedanā un devās uz Bāskervilu suņa biroju. Viņa vizīte netika saskaņota: Toms gatavojās pārbaudīt klienta Wi-Fi. Biznesa centra autostāvvietā bija vairākas brīvas vietas, kas bija ērti iekļautas mērķa tīkla perimetrā. Acīmredzot viņi daudz nedomāja par tā ierobežojumu - it kā administratori nejauši izliktu papildu punktus, atbildot uz jebkuru sūdzību par vāju Wi-Fi.
Kā darbojas WPA/WPA2 PSK drošība? Šifrēšanu starp piekļuves punktu un klientiem nodrošina pirmssesijas atslēga - Pairwise Transient Key (PTK). PTK izmanto iepriekš koplietoto atslēgu un piecus citus parametrus - SSID, Authenticator Noounce (ANounce), Supplicant Noounce (SNounce), piekļuves punktu un klientu MAC adreses. Toms pārtvēra visus piecus parametrus, un tagad trūka tikai iepriekš koplietotās atslēgas.
Hashcat utilīta lejupielādēja šo trūkstošo saiti aptuveni 50 minūšu laikā – un mūsu varonis nokļuva viesu tīklā. No tā jau varēja redzēt strādājošo - dīvainā kārtā šeit Toms paroli tika galā aptuveni deviņās minūtēs. Un tas viss, neizejot no autostāvvietas, bez VPN. Darbojošais tīkls mūsu varonim pavēra iespējas milzīgām aktivitātēm, taču viņš... nekad nav pievienojis veikala kartei bonusus.
Toms apklusa, paskatījās pulkstenī, uzmeta uz galda pāris banknotes un, atvadījies, izgāja no kafejnīcas. Varbūt tas atkal ir pentests vai varbūt tas ir iekšā Izdomāju uzrakstīt...
Avots: www.habr.com