Доцнењето на потпишувањето е вообичаено за секоја голема компанија. Договорот меѓу Том Хантер и еден ланец на продавници за миленичиња за темелно тестирање не беше исклучок. Моравме да ја провериме веб-страницата, внатрешната мрежа, па дури и работниот Wi-Fi.
Не е чудно што рацете ме чешаа уште пред да се решат сите формалности. Па, само скенирајте ја страницата за секој случај, малку е веројатно дека таква добро позната продавница како „The Hound of the Baskervilles“ ќе направи грешки овде. Неколку дена подоцна, на Том конечно му беше доставен потпишаниот оригинален договор - во тоа време, на третата шолја кафе, Том од внатрешниот CMS со интерес ја процени состојбата на магацините...
Извор:
Но, не беше можно да се управува многу во CMS - администраторите на страницата ја забранија IP адресата на Том Хантер. Иако би можело да имате време да генерирате бонуси на картичката од продавницата и да ја храните вашата сакана мачка на евтино многу месеци... „Не овој пат, Дарт Сидиус“, помисли Том со насмевка. Не би било помалку интересно да се оди од областа на веб-страницата до локалната мрежа на клиентот, но очигледно овие сегменти не се поврзани за клиентот. Сепак, ова се случува почесто во многу големи компании.
По сите формалности, Том Хантер се вооружи со дадената VPN сметка и отиде до локалната мрежа на клиентот. Сметката беше во доменот на Active Directory, така што беше можно да се исфрли AD без никакви посебни трикови - исцрпувајќи ги сите јавно достапни информации за корисниците и работните машини.
Том ја лансираше алатката adfind и почна да испраќа барања за LDAP до контролорот на доменот. Со филтер на класата objectСategory, наведувајќи лице како атрибут. Одговорот се врати со следнава структура:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZПокрај ова, имаше многу корисни информации, но најинтересно беше во полето >description: >description. Ова е коментар на сметка - во основа погодно место за чување мали белешки. Но, администраторите на клиентот одлучија дека лозинките исто така може да седат таму тивко. Кој, на крајот на краиштата, би можел да биде заинтересиран за сите овие безначајни официјални записи? Така, коментарите што ги доби Том беа:
Создал Администратор, 2018.11.16 7po!*VqnНе треба да сте ракетен научник за да разберете зошто комбинацијата на крајот е корисна. Остануваше само да се анализира големата датотека со одговор од ЦД-то користејќи го полето >опис: и тука беа - 20 парови за најавување-лозинка. Покрај тоа, речиси половина имаат права за пристап до RDP. Не е лош мост, време е да се подели напаѓачките сили.
мрежна околина
Достапните топки „Hounds of the Baskerville“ потсетуваа на голем град во сиот негов хаос и непредвидливост. Со кориснички и RDP профили, Том Хантер беше скршено момче во овој град, но дури и тој успеа да види многу работи низ сјајните прозорци на безбедносната политика.
Делови од сервери за датотеки, сметководствени сметки, па дури и скрипти поврзани со нив беа објавени. Во поставките на една од овие скрипти, Том го најде хашот MS SQL на еден корисник. Малку брутална магија на сила - и хашот на корисникот се претвори во лозинка со обичен текст. Благодарение на Џон Мевосек и Хашкет.
Овој клуч требаше да одговара на градите. Градите беа пронајдени, а уште повеќе, со него беа поврзани уште десет „гради“. И внатре во шесте лежеа... права на суперкорисници, nt авторитетен систем! На две од нив можевме да ја извршиме процедурата зачувана xp_cmdshell и да испратиме команди cmd до Windows. Што повеќе би можеле да посакате?
Контролери на домени
Том Хантер го подготви вториот удар за контролорите на домени. Имаше три од нив во мрежата „Кучињата на Баскервилите“, во согласност со бројот на географски оддалечени сервери. Секој домен контролер има јавна папка, како отворена витрина во продавница, во близина на која се дружи истото кутро момче Том.
И овој пат момчето повторно имаше среќа - заборавија да ја отстранат скриптата од витрината, каде што беше хардкодирана административната лозинка на локалниот сервер. Така, патот до контролорот на доменот беше отворен. Влези, Том!
Тука од магичната капа беше повлечена , кој профитираше од неколку администратори на домени. Том Хантер добил пристап до сите машини на локалната мрежа, а ѓаволската смеа ја исплашила мачката од соседното столче. Оваа рута беше пократка од очекуваното.
Вечна Сина
Сеќавањето на WannaCry и Petya сè уште е живо во главите на петестерите, но некои администратори се чини дека заборавиле на ransomware во текот на другите вечерни вести. Том откри три јазли со ранливост во протоколот SMB - CVE-2017-0144 или EternalBlue. Ова е истата ранливост што се користеше за дистрибуција на откупниот софтвер WannaCry и Petya, ранливост што дозволува произволен код да се изврши на домаќинот. На еден од ранливите јазли имаше административна сесија на домен - „искористи и добиј го“. Што можете да направите, времето не научи сите.
„Кучето на Бастервил“
Класиците на информациската безбедност сакаат да повторуваат дека најслабата точка на секој систем е личноста. Забележете дека насловот погоре не се совпаѓа со името на продавницата? Можеби не сите се толку внимателни.
Во најдобрите традиции на фишинг блокбастери, Том Хантер регистрираше домен кој се разликува за една буква од доменот „Hounds of the Baskervilles“. Адресата за пошта на овој домен ја имитира адресата на службата за безбедност на информации во продавницата. Во текот на 4 дена од 16:00 до 17:00 часот, следново писмо беше униформно испратено на 360 адреси од лажна адреса:
Можеби, само нивната мрзеливост ги спаси вработените од масовното протекување на лозинки. Од 360 писма, отворени се само 61 - службата за безбедност не е многу популарна. Но, тогаш беше полесно.
Фишинг страница
46 луѓе кликнале на врската и речиси половина - 21 вработен - не погледнале во лентата за адреси и мирно ги внеле своите најави и лозинки. Убав улов, Том.
Wi-Fi мрежа
Сега немаше потреба да се смета на помошта на мачката. Том Хантер фрли неколку парчиња железо во својот стар седан и отиде во канцеларијата на Хаунд на Баскервилите. Неговата посета не беше договорена: Том требаше да го тестира Wi-Fi-то на клиентот. На паркингот на деловниот центар имаше неколку слободни места кои беа погодно вклучени во периметарот на целната мрежа. Очигледно, тие не размислувале многу за неговото ограничување - како администраторите случајно да собираат дополнителни поени како одговор на секоја поплака за слаб Wi-Fi.
Како функционира безбедноста на WPA/WPA2 PSK? Шифрирањето помеѓу пристапната точка и клиентите е обезбедено со клуч за претсесија - Pairwise Transient Key (PTK). PTK користи Pre-Shared Key и пет други параметри - SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), пристапна точка и MAC адреси на клиентот. Том ги пресретна сите пет параметри, а сега недостасуваше само Pre-Shared Key.
Услужната алатка Hashcat ја презеде оваа врска што недостасуваше за околу 50 минути - и нашиот херој заврши во гостинската мрежа. Од него веќе можеше да се види работната - чудно е доволно, овде Том ја снајде лозинката за околу девет минути. И сето тоа без напуштање на паркингот, без никаков VPN. Работната мрежа отвори простор за монструозни активности за нашиот херој, но тој... никогаш не додаде бонуси на картичката од продавницата.
Том застана, погледна во часовникот, фрли неколку банкноти на масата и, збогувајќи се, го напушти кафулето. Можеби повторно е пентест, или можеби е ин Мислев да пишам...
Извор: www.habr.com