Forsinkelser i signering er vanlig for ethvert stort selskap. Avtalen mellom Tom Hunter og en dyrebutikkkjede om grundig testing var intet unntak. Vi måtte sjekke nettstedet, det interne nettverket og til og med fungerende Wi-Fi.
Det er ikke overraskende at hendene mine kløte allerede før alle formalitetene var avgjort. Vel, bare skann nettstedet i tilfelle, det er usannsynlig at en så kjent butikk som "The Hound of the Baskervilles" vil gjøre feil her. Et par dager senere fikk Tom endelig levert den signerte originalkontrakten - på dette tidspunktet, over det tredje kaffekoppen, vurderte Tom fra det interne CMS med interesse tilstanden til varehusene...
Kilde:
Men det var ikke mulig å administrere mye i CMS - nettstedsadministratorene forbød Tom Hunters IP. Selv om det ville være mulig å ha tid til å generere bonuser på butikkkortet og mate din elskede katt billig i mange måneder... "Ikke denne gangen, Darth Sidious," tenkte Tom med et smil. Det ville ikke vært mindre interessant å gå fra nettstedsområdet til kundens lokale nettverk, men tilsynelatende er disse segmentene ikke koblet til klienten. Likevel skjer dette oftere i svært store selskaper.
Etter alle formalitetene bevæpnet Tom Hunter seg med den oppgitte VPN-kontoen og gikk til kundens lokale nettverk. Kontoen var inne i Active Directory-domenet, så det var mulig å dumpe AD uten noen spesielle triks - tappe all offentlig tilgjengelig informasjon om brukere og fungerende maskiner.
Tom lanserte adfind-verktøyet og begynte å sende LDAP-forespørsler til domenekontrolleren. Med et filter på objectСategory-klassen, spesifiserer person som et attributt. Svaret kom tilbake med følgende struktur:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZI tillegg til dette var det mye nyttig informasjon, men det mest interessante var i feltet >beskrivelse: >beskrivelse. Dette er en kommentar til en konto - i utgangspunktet et praktisk sted å holde mindre notater. Men klientens administratorer bestemte at passordene også kunne sitte stille. Hvem kan tross alt være interessert i alle disse ubetydelige offisielle postene? Så kommentarene Tom fikk var:
Создал Администратор, 2018.11.16 7po!*VqnDu trenger ikke være rakettforsker for å forstå hvorfor kombinasjonen på slutten er nyttig. Alt som gjensto var å analysere den store svarfilen fra CD-en ved å bruke >beskrivelsesfeltet: og her var de - 20 påloggingspassordpar. Dessuten har nesten halvparten RDP-tilgangsrettigheter. Ikke et dårlig brohode, på tide å dele de angripende styrkene.
Nettverk
De tilgjengelige Hounds of the Baskerville-ballene minnet om en storby i alt dets kaos og uforutsigbarhet. Med bruker- og RDP-profiler var Tom Hunter en blakk gutt i denne byen, men selv han klarte å se mange ting gjennom sikkerhetspolitikkens skinnende vinduer.
Deler av filservere, regnskapskontoer og til og med skript knyttet til dem ble alle offentliggjort. I innstillingene til ett av disse skriptene fant Tom MS SQL-hashen til én bruker. Litt brute force-magi - og brukerens hasj ble til et vanlig tekstpassord. Takk til John The Ripper og Hashcat.
Denne nøkkelen skal ha passet litt på brystet. Brystet ble funnet, og dessuten ble det knyttet ti "kister" til. Og inne i de seks lå... superbrukerrettigheter, nt autoritetssystem! På to av dem var vi i stand til å kjøre den lagrede prosedyren xp_cmdshell og sende cmd-kommandoer til Windows. Hva mer kan du ønske deg?
Domenekontrollere
Tom Hunter forberedte det andre slaget for domenekontrollere. Det var tre av dem i "Dogs of the Baskervilles"-nettverket, i samsvar med antall geografisk fjerntliggende servere. Hver domenekontroller har en offentlig mappe, som en åpen montre i en butikk, som den samme stakkars gutten Tom henger i nærheten av.
Og denne gangen var fyren heldig igjen - de glemte å fjerne skriptet fra displayet, der det lokale serveradministratorpassordet var hardkodet. Så banen til domenekontrolleren var åpen. Kom inn, Tom!
Her fra ble den magiske hatten trukket , som tjente på flere domeneadministratorer. Tom Hunter fikk tilgang til alle maskinene på det lokale nettverket, og den djevelske latteren skremte katten fra neste stol. Denne ruten var kortere enn forventet.
EternalBlue
Minnet om WannaCry og Petya er fortsatt levende i hodet til pentesterne, men noen administratorer ser ut til å ha glemt løsepengevare i strømmen av andre kveldsnyheter. Tom oppdaget tre noder med en sårbarhet i SMB-protokollen - CVE-2017-0144 eller EternalBlue. Dette er den samme sårbarheten som ble brukt til å distribuere WannaCry og Petya løsepengevare, en sårbarhet som gjør at vilkårlig kode kan kjøres på en vert. På en av de sårbare nodene var det en domeneadministrasjonsøkt - "utnytt og hent den." Hva kan du gjøre, tiden har ikke lært alle.
"The Basterville's Dog"
Klassikere innen informasjonssikkerhet liker å gjenta at det svakeste punktet i ethvert system er personen. Legger du merke til at overskriften ovenfor ikke samsvarer med navnet på butikken? Kanskje ikke alle er så oppmerksomme.
I de beste tradisjonene med phishing-storfilmer, registrerte Tom Hunter et domene som skiller seg med én bokstav fra "Hounds of the Baskervilles"-domenet. Postadressen på dette domenet imiterte adressen til butikkens informasjonssikkerhetstjeneste. I løpet av 4 dager fra 16:00 til 17:00 ble følgende brev jevnt sendt til 360 adresser fra en falsk adresse:
Kanskje var det bare deres egen latskap som reddet ansatte fra masselekkasjen av passord. Av 360 brev ble bare 61 åpnet – sikkerhetstjenesten er lite populær. Men så var det lettere.
Phishing-side
46 personer klikket på lenken og nesten halvparten – 21 ansatte – så ikke i adressefeltet og la rolig inn sine brukernavn og passord. Fin fangst, Tom.
Wi-Fi-nettverk
Nå var det ingen grunn til å regne med kattens hjelp. Tom Hunter kastet flere stykker jern i sin gamle sedan og dro til kontoret til Hound of the Baskervilles. Besøket hans ble ikke avtalt: Tom skulle teste kundens Wi-Fi. På parkeringsplassen til forretningssenteret var det flere ledige plasser som var praktisk inkludert i omkretsen av målnettverket. Tilsynelatende tenkte de ikke så mye på begrensningen - som om administratorene tilfeldig stakk flere poeng som svar på en klage om svak Wi-Fi.
Hvordan fungerer WPA/WPA2 PSK-sikkerhet? Kryptering mellom tilgangspunktet og klientene leveres av en pre-session-nøkkel - Pairwise Transient Key (PTK). PTK bruker den forhåndsdelte nøkkelen og fem andre parametere - SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), tilgangspunkt og klient MAC-adresser. Tom fanget opp alle fem parameterne, og nå manglet bare den forhåndsdelte nøkkelen.
Hashcat-verktøyet lastet ned denne manglende lenken på omtrent 50 minutter - og helten vår havnet i gjestenettverket. Fra den kunne du allerede se den fungerende - merkelig nok, her klarte Tom passordet på omtrent ni minutter. Og alt dette uten å forlate parkeringsplassen, uten VPN. Arbeidsnettverket åpnet for monstrøse aktiviteter for helten vår, men han... la aldri til bonuser til butikkkortet.
Tom stoppet, så på klokken, kastet et par sedler på bordet og forlot kafeen, da han sa farvel. Kanskje det er en pentest igjen, eller kanskje det er inne Jeg tenkte å skrive...
Kilde: www.habr.com