Kelewatan dalam menandatangani adalah perkara biasa bagi mana-mana syarikat besar. Perjanjian antara Tom Hunter dan satu rangkaian kedai haiwan peliharaan untuk pentesting yang menyeluruh tidak terkecuali. Kami terpaksa menyemak tapak web, rangkaian dalaman, dan juga Wi-Fi yang berfungsi.
Tidak menghairankan bahawa tangan saya gatal walaupun sebelum semua formaliti diselesaikan. Baiklah, hanya imbas tapak untuk berjaga-jaga, tidak mungkin kedai yang terkenal seperti "The Hound of the Baskervilles" akan membuat kesilapan di sini. Beberapa hari kemudian, Tom akhirnya diserahkan kontrak asal yang ditandatangani - pada masa ini, dalam cawan kopi ketiga, Tom dari CMS dalaman menilai dengan penuh minat keadaan gudang...
Sumber:
Tetapi tidak mungkin untuk mengurus banyak dalam CMS - pentadbir tapak mengharamkan IP Tom Hunter. Walaupun mungkin ada masa untuk menjana bonus pada kad kedai dan memberi makan kucing kesayangan anda dengan harga murah selama berbulan-bulan... “Bukan kali ini, Darth Sidious,” fikir Tom sambil tersenyum. Ia akan menjadi tidak kurang menarik untuk pergi dari kawasan tapak web ke rangkaian tempatan pelanggan, tetapi nampaknya segmen ini tidak disambungkan untuk pelanggan. Namun, ini lebih kerap berlaku dalam syarikat yang sangat besar.
Selepas semua formaliti, Tom Hunter mempersenjatai dirinya dengan akaun VPN yang disediakan dan pergi ke rangkaian tempatan pelanggan. Akaun tersebut berada dalam domain Active Directory, jadi anda boleh membuang AD tanpa sebarang helah khas - menyalirkan semua maklumat yang tersedia secara umum tentang pengguna dan mesin yang berfungsi.
Tom melancarkan utiliti adfind dan mula menghantar permintaan LDAP kepada pengawal domain. Dengan penapis pada kelas objectСategory, menentukan orang sebagai atribut. Sambutan datang kembali dengan struktur berikut:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZDi samping itu, terdapat banyak maklumat berguna, tetapi yang paling menarik ialah dalam medan >penerangan: >penerangan. Ini adalah ulasan pada akaun - pada asasnya tempat yang mudah untuk menyimpan nota kecil. Tetapi pentadbir pelanggan memutuskan bahawa kata laluan juga boleh duduk di sana dengan senyap. Siapa, selepas semua, mungkin berminat dengan semua rekod rasmi yang tidak penting ini? Jadi komen yang diterima Tom ialah:
Создал Администратор, 2018.11.16 7po!*VqnAnda tidak perlu menjadi saintis roket untuk memahami mengapa kombinasi pada akhirnya berguna. Yang tinggal hanyalah menghuraikan fail respons yang besar daripada CD menggunakan medan >penerangan: dan inilah - 20 pasangan log masuk-kata laluan. Lebih-lebih lagi, hampir separuh mempunyai hak akses RDP. Bukan jambatan yang buruk, masa untuk membahagikan pasukan penyerang.
rangkaian
Hounds of the Baskerville balls yang boleh diakses mengingatkan bandar besar dalam semua huru-hara dan tidak dapat diramalkan. Dengan profil pengguna dan RDP, Tom Hunter adalah budak bangang di bandar ini, tetapi dia juga berjaya melihat banyak perkara melalui tingkap berkilat dasar keselamatan.
Sebahagian daripada pelayan fail, akaun perakaunan, dan juga skrip yang dikaitkan dengannya semuanya telah didedahkan kepada umum. Dalam tetapan salah satu skrip ini, Tom menemui cincangan MS SQL bagi seorang pengguna. Sedikit sihir kekerasan - dan cincangan pengguna bertukar menjadi kata laluan teks biasa. Terima kasih kepada John The Ripper dan Hashcat.
Kunci ini sepatutnya muat di bahagian dada. Peti itu ditemui, dan lebih-lebih lagi, sepuluh lagi "peti" dikaitkan dengannya. Dan di dalam enam orang awam... hak pengguna super, sistem kuasa nt! Pada dua daripadanya, kami dapat menjalankan prosedur tersimpan xp_cmdshell dan menghantar arahan cmd ke Windows. Apa lagi yang anda mahukan?
Pengawal domain
Tom Hunter menyediakan pukulan kedua untuk pengawal domain. Terdapat tiga daripada mereka dalam rangkaian "Dogs of the Baskervilles", mengikut bilangan pelayan jauh secara geografi. Setiap pengawal domain mempunyai folder awam, seperti bekas paparan terbuka di kedai, berhampiran tempat lelaki malang yang sama Tom melepak.
Dan kali ini lelaki itu bernasib baik sekali lagi - mereka terlupa untuk mengalih keluar skrip daripada kes paparan, di mana kata laluan pentadbir pelayan tempatan dikodkan keras. Jadi laluan ke pengawal domain dibuka. Masuk, Tom!
Di sini dari topi ajaib itu ditarik , yang mendapat keuntungan daripada beberapa pentadbir domain. Tom Hunter mendapat akses kepada semua mesin di rangkaian tempatan, dan ketawa jahat itu menakutkan kucing itu dari kerusi sebelah. Laluan ini lebih pendek daripada jangkaan.
EternalBlue
Memori WannaCry dan Petya masih hidup dalam minda pentester, tetapi sesetengah admin nampaknya terlupa tentang ransomware dalam aliran berita petang yang lain. Tom menemui tiga nod dengan kerentanan dalam protokol SMB - CVE-2017-0144 atau EternalBlue. Ini adalah kerentanan yang sama yang digunakan untuk mengedarkan perisian tebusan WannaCry dan Petya, kerentanan yang membenarkan kod sewenang-wenangnya dilaksanakan pada hos. Pada salah satu nod yang terdedah terdapat sesi pentadbir domain - "eksploitasi dan dapatkannya." Apa boleh buat, masa belum mengajar semua orang.
"Anjing Basterville"
Klasik keselamatan maklumat suka mengulangi bahawa titik paling lemah dari mana-mana sistem adalah orang. Perhatikan bahawa tajuk di atas tidak sepadan dengan nama kedai? Mungkin tidak semua orang begitu prihatin.
Dalam tradisi terbaik phishing blockbuster, Tom Hunter mendaftarkan domain yang berbeza dengan satu huruf daripada domain "Hounds of the Baskervilles". Alamat mel pada domain ini meniru alamat perkhidmatan keselamatan maklumat kedai. Sepanjang 4 hari dari jam 16:00 hingga 17:00, surat berikut dihantar secara seragam ke 360 alamat dari alamat palsu:
Mungkin, hanya kemalasan mereka sendiri menyelamatkan pekerja daripada kebocoran besar-besaran kata laluan. Daripada 360 surat, hanya 61 yang dibuka - perkhidmatan keselamatan tidak begitu popular. Tetapi kemudian ia lebih mudah.
Halaman pancingan data
46 orang mengklik pada pautan dan hampir separuh - 21 pekerja - tidak melihat bar alamat dan dengan tenang memasukkan log masuk dan kata laluan mereka. Tangkapan yang bagus, Tom.
Rangkaian Wi-Fi
Sekarang tidak perlu mengharapkan bantuan kucing. Tom Hunter melemparkan beberapa keping besi ke dalam sedan lamanya dan pergi ke pejabat Hound of the Baskervilles. Lawatannya tidak dipersetujui: Tom akan menguji Wi-Fi pelanggan. Di tempat letak kereta pusat perniagaan terdapat beberapa ruang kosong yang mudah dimasukkan ke dalam perimeter rangkaian sasaran. Nampaknya, mereka tidak terlalu memikirkan tentang hadnya - seolah-olah pentadbir secara rawak mencucuk mata tambahan sebagai tindak balas kepada sebarang aduan tentang Wi-Fi yang lemah.
Bagaimanakah keselamatan WPA/WPA2 PSK berfungsi? Penyulitan antara pusat akses dan pelanggan disediakan oleh kunci pra-sesi - Kunci Transien Berpasangan (PTK). PTK menggunakan Kunci Pra Kongsi dan lima parameter lain - SSID, Pengumuman Pengesah (Umum), Pengumuman Pemohon (SNounce), titik akses dan alamat MAC pelanggan. Tom memintas semua lima parameter, dan kini hanya Kunci Pra Kongsi yang hilang.
Utiliti Hashcat memuat turun pautan yang hilang ini dalam masa kira-kira 50 minit - dan wira kami berakhir dalam rangkaian tetamu. Daripada itu anda sudah dapat melihat yang berfungsi - cukup aneh, di sini Tom menguruskan kata laluan dalam kira-kira sembilan minit. Dan semua ini tanpa meninggalkan tempat letak kereta, tanpa sebarang VPN. Rangkaian kerja membuka skop untuk aktiviti besar untuk wira kami, tetapi dia... tidak pernah menambah bonus pada kad kedai.
Tom berhenti seketika, melihat jam tangannya, melemparkan beberapa keping wang kertas di atas meja dan, mengucapkan selamat tinggal, meninggalkan kafe. Mungkin ia adalah pentest lagi, atau mungkin sudah masuk Saya terfikir untuk menulis...
Sumber: www.habr.com