Vertragingen bij de ondertekening zijn gebruikelijk voor elk groot bedrijf. De overeenkomst tussen Tom Hunter en een dierenwinkelketen voor grondige pentests was geen uitzondering. We moesten de website, het interne netwerk en zelfs werkende wifi controleren.
Het is niet verwonderlijk dat mijn handen jeukten nog voordat alle formaliteiten waren afgehandeld. Nou, scan gewoon de site voor het geval dat het onwaarschijnlijk is dat zo'n bekende winkel als "The Hound of the Baskervilles" hier fouten zal maken. Een paar dagen later kreeg Tom eindelijk het ondertekende originele contract overhandigd - op dat moment beoordeelde Tom van het interne CMS, bij de derde mok koffie, met belangstelling de staat van de magazijnen...
Bron:
Maar het was niet mogelijk om veel te beheren in het CMS - de sitebeheerders hebben het IP-adres van Tom Hunter verboden. Hoewel het mogelijk zou zijn om tijd te hebben om bonussen te genereren op de winkelkaart en je geliefde kat maandenlang goedkoop te voeden... 'Deze keer niet, Darth Sidious,' dacht Tom glimlachend. Het zou niet minder interessant zijn om van het websitegedeelte naar het lokale netwerk van de klant te gaan, maar blijkbaar zijn deze segmenten voor de klant niet met elkaar verbonden. Toch gebeurt dit vaker bij hele grote bedrijven.
Na alle formaliteiten bewapende Tom Hunter zich met het verstrekte VPN-account en ging naar het lokale netwerk van de klant. Het account bevond zich binnen het Active Directory-domein, dus het was mogelijk om AD te dumpen zonder speciale trucs, waarbij alle openbaar beschikbare informatie over gebruikers en werkende machines werd leeggemaakt.
Tom startte het hulpprogramma adfin en begon LDAP-verzoeken naar de domeincontroller te sturen. Met een filter op de klasse objectcategory, waarbij persoon als attribuut wordt gespecificeerd. Het antwoord kwam terug met de volgende structuur:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZDaarnaast was er veel nuttige informatie, maar de meest interessante stond in het veld >beschrijving: >beschrijving. Dit is een opmerking over een account - in feite een handige plek om kleine aantekeningen te bewaren. Maar de beheerders van de klant besloten dat de wachtwoorden daar ook rustig konden blijven zitten. Wie zou immers geïnteresseerd kunnen zijn in al deze onbeduidende officiële documenten? De opmerkingen die Tom ontving waren dus:
Создал Администратор, 2018.11.16 7po!*VqnJe hoeft geen raketwetenschapper te zijn om te begrijpen waarom de combinatie aan het eind nuttig is. Het enige dat nog restte, was het grote responsbestand van de cd te parseren met behulp van het veld >beschrijving: en hier waren ze dan: 20 login-wachtwoordparen. Bovendien beschikt bijna de helft over RDP-toegangsrechten. Geen slecht bruggenhoofd, tijd om de aanvallende krachten te verdelen.
netwerk
De toegankelijke Hounds of the Baskerville-ballen deden denken aan een grote stad in al haar chaos en onvoorspelbaarheid. Met gebruikers- en RDP-profielen was Tom Hunter een blut jongetje in deze stad, maar zelfs hij slaagde erin veel dingen te zien door de glimmende ramen van het veiligheidsbeleid.
Delen van bestandsservers, boekhoudaccounts en zelfs bijbehorende scripts werden allemaal openbaar gemaakt. In de instellingen van een van deze scripts vond Tom de MS SQL-hash van één gebruiker. Een beetje brute force-magie - en de hash van de gebruiker veranderde in een wachtwoord in platte tekst. Met dank aan John The Ripper en Hashcat.
Deze sleutel had in een kist moeten passen. De kist werd gevonden en bovendien werden er nog tien ‘kisten’ aan gekoppeld. En binnen de zes lagen... superuser-rechten, geen autoriteitssysteem! Op twee daarvan konden we de opgeslagen procedure xp_cmdshell uitvoeren en cmd-opdrachten naar Windows sturen. Wat wil je nog meer?
Domeincontrollers
Tom Hunter bereidde de tweede klap voor domeincontrollers voor. Er waren er drie in het ‘Dogs of the Baskervilles’-netwerk, in overeenstemming met het aantal geografisch afgelegen servers. Elke domeincontroller heeft een openbare map, zoals een open vitrine in een winkel, waar dezelfde arme jongen Tom rondhangt.
En deze keer had de man opnieuw geluk: ze vergaten het script uit de vitrine te verwijderen, waar het beheerderswachtwoord van de lokale server hardgecodeerd was. Het pad naar de domeincontroller was dus open. Kom binnen, Tom!
Hier werd de magische hoed uitgetrokken , die profiteerde van verschillende domeinbeheerders. Tom Hunter kreeg toegang tot alle machines op het lokale netwerk en het duivelse gelach joeg de kat uit de volgende stoel. Deze route was korter dan verwacht.
Eternalblue
De herinnering aan WannaCry en Petya leeft nog steeds in de hoofden van pentesters, maar sommige beheerders lijken ransomware te zijn vergeten in de stroom van ander avondnieuws. Tom ontdekte drie knooppunten met een kwetsbaarheid in het SMB-protocol: CVE-2017-0144 of EternalBlue. Dit is dezelfde kwetsbaarheid die werd gebruikt om de WannaCry- en Petya-ransomware te verspreiden, een kwetsbaarheid waardoor willekeurige code op een host kan worden uitgevoerd. Op een van de kwetsbare knooppunten was er een domeinbeheerdersessie: ‘exploit and get it’. Wat kun je doen, de tijd heeft niet iedereen geleerd.
"De hond van Basterville"
Klassiekers op het gebied van informatiebeveiliging herhalen graag dat het zwakste punt van elk systeem de persoon is. Merk je dat de bovenstaande kop niet overeenkomt met de naam van de winkel? Misschien is niet iedereen zo attent.
In de beste tradities van phishing-blockbusters registreerde Tom Hunter een domein dat één letter verschilt van het domein ‘Hounds of the Baskervilles’. Het postadres op dit domein imiteerde het adres van de informatiebeveiligingsdienst van de winkel. Gedurende 4 dagen van 16 tot 00 uur werd de volgende brief vanaf een vals adres uniform naar 17 adressen gestuurd:
Misschien heeft alleen hun eigen luiheid werknemers gered van het massale lekken van wachtwoorden. Van de 360 brieven werden er slechts 61 geopend - de veiligheidsdienst is niet erg populair. Maar toen was het makkelijker.
Phishing-pagina
46 mensen klikten op de link en bijna de helft (21 medewerkers) keek niet naar de adresbalk en voerde rustig hun logins en wachtwoorden in. Mooie vangst, Tom.
Wi-Fi-netwerk
Nu hoefde je niet meer op de hulp van de kat te rekenen. Tom Hunter gooide verschillende stukken ijzer in zijn oude sedan en ging naar het kantoor van de Hound of the Baskervilles. Zijn bezoek werd niet afgesproken: Tom ging de wifi van de klant testen. Op de parkeerplaats van het zakencentrum waren verschillende vrije ruimtes die handig waren opgenomen in de perimeter van het doelnetwerk. Kennelijk dachten ze niet veel na over de beperkingen ervan, alsof de beheerders willekeurig extra punten aan het prikken waren als reactie op klachten over zwakke wifi.
Hoe werkt WPA/WPA2 PSK-beveiliging? De codering tussen het toegangspunt en de clients wordt verzorgd door een pre-sessiesleutel: Pairwise Transient Key (PTK). PTK gebruikt de vooraf gedeelde sleutel en vijf andere parameters: SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), toegangspunt en client-MAC-adressen. Tom onderschepte alle vijf de parameters en nu ontbrak alleen de vooraf gedeelde sleutel.
Het hulpprogramma Hashcat downloadde deze ontbrekende link in ongeveer 50 minuten - en onze held belandde in het gastnetwerk. Hieruit kon je de werkende al zien - vreemd genoeg wist Tom hier het wachtwoord in ongeveer negen minuten te beheren. En dit alles zonder de parkeerplaats te verlaten, zonder enige VPN. Het werkende netwerk opende ruimte voor monsterlijke activiteiten voor onze held, maar hij... voegde nooit bonussen toe aan de winkelkaart.
Tom zweeg even, keek op zijn horloge, gooide een paar bankbiljetten op tafel en verliet, afscheid nemend, het café. Misschien is het weer een pentest, of misschien is het binnen Ik dacht aan schrijven...
Bron: www.habr.com