Opóźnienia w podpisywaniu umów są typowe dla każdej dużej firmy. Wyjątkiem była umowa między Tomem Hunterem a jednym z sieciowych sklepów zoologicznych na dokładne pentesty. Musieliśmy sprawdzić stronę, sieć wewnętrzną, a nawet działające Wi-Fi.
Nic dziwnego, że ręce już świerzbiły, zanim załatwiono wszystkie formalności. Cóż, wystarczy zeskanować witrynę na wszelki wypadek, jest mało prawdopodobne, aby tak znany sklep jak Pies Baskerville'a już tutaj popełniał błędy. Kilka dni później podpisany oryginał umowy trafił do Tomka – w tym czasie przy trzecim kubku kawy Tomek z wewnętrznego CMS-a z zainteresowaniem ocenił stan magazynów…
Źródło:
Ale w CMS-ie nie można było wiele zrobić - IP Toma Huntera zostało zablokowane przez administratorów strony. Chociaż dałoby się mieć czas na generowanie bonusów na karcie sklepowej i tanie karmienie ukochanego kota przez wiele miesięcy… „Nie tym razem, Darth Sidious” – pomyślał Tom z uśmiechem. Nie mniej interesujące byłoby przejście ze strefy serwisu do sieci lokalnej klienta, ale najwyraźniej te segmenty nie są połączone u klienta. Częściej jednak dzieje się tak w bardzo dużych firmach.
Po wszystkich formalnościach Tom Hunter uzbroił się w podane konto VPN i udał się do sieci lokalnej klienta. Konto znajdowało się w domenie Active Directory, więc możliwe było zrobienie zrzutu AD bez specjalnych sztuczek – scalanie wszystkich publicznie dostępnych informacji o użytkownikach i pracujących maszynach.
Tom uruchomił narzędzie adfind i zaczął wysyłać zapytania LDAP do kontrolera domeny. Z filtrem klasy objectCategory, określając osobę jako atrybut. Odpowiedź jest zwracana z następującą strukturą:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZPoza tym było sporo przydatnych informacji, ale najciekawsza była w polu >opis: >opis. To jest komentarz do konta - w zasadzie wygodne miejsce do przechowywania drobnych notatek. Ale administratorzy klienta uznali, że hasła mogą łatwo leżeć tutaj. Kto w końcu może być zainteresowany tymi wszystkimi mało znaczącymi kontami biurowymi? Tak więc komentarze, które otrzymał Tom, były następujące:
Создал Администратор, 2018.11.16 7po!*VqnNie trzeba mieć siedmiu przęseł w czole, aby zrozumieć, do czego przydatna jest kombinacja na końcu. Pozostało przeanalizować duży plik odpowiedzi z płyty za pomocą pola >description: i oto są - 20 par login-hasło. A prawie połowa ma prawa dostępu do RDP. Dobry punkt zaczepienia, czas na rozdzielenie sił atakujących.
sieć
Dostępne balony Psa Baskerville'ów przypominały wielkie miasto w całym swoim chaosie i nieprzewidywalności. Z profilami użytkownika i RDP Tom Hunter był biednym chłopcem w tym mieście, ale nawet on miał wiele do zobaczenia przez lśniące okna polityki bezpieczeństwa.
Części serwerów plików, kont księgowych, a nawet powiązanych skryptów zostały udostępnione publicznie. W ustawieniach jednego z tych skryptów Tom znalazł skrót MS SQL jednego użytkownika. Trochę magii brutalnej siły - i hash użytkownika zamienił się w hasło w postaci zwykłego tekstu. Dzięki John The Ripper i Hashcat.
Ten klucz powinien trafić do jakiejś skrzyni. Skrzynia została odnaleziona, a ponadto wiązało się z nią jeszcze dziesięć „skrzyń”. A w środku sześć leżało... prawa superużytkownika, system uprawnień nt! Na dwóch można było uruchomić procedurę składowaną xp_cmdshell i wysłać polecenia cmd do systemu Windows. Czego jeszcze życzyć?
Kontrolery domeny
Tom Hunter przygotował drugi cios dla kontrolerów domen. Było ich trzech w sieci „Psy Baskerville'ów” – zgodnie z liczbą oddalonych geograficznie serwerów. Każdy kontroler domeny ma folder publiczny, jak otwarte okno w sklepie, w pobliżu którego kręci się ten sam żebrak Tom.
I tym razem dzieciakowi znowu dopisało szczęście - zapomniał usunąć skrypt z gabloty, na której zakodowane było hasło administratora lokalnego serwera. Ścieżka do kontrolera domeny była więc otwarta. Chodź, Tomku!
Tutaj z magicznego kapelusza został wyciągnięty , który skorzystał z kilku administratorów domen. Tom Hunter uzyskał dostęp do wszystkich maszyn w lokalnej sieci, a diabelski śmiech wystraszył kota z sąsiedniego krzesła. Ta trasa była krótsza niż oczekiwano.
EternalBlue
Pamięć o WannaCry i Petya wciąż jest żywa w umysłach pentesterów, ale niektórzy administratorzy najwyraźniej zapomnieli o oprogramowaniu ransomware w wiadomościach z poprzedniego wieczoru. Tomek znalazł trzy hosty z luką w protokole SMB – CVE-2017-0144 lub EternalBlue. Jest to ta sama luka, która rozprzestrzenia ransomware WannaCry i Petya, luka umożliwiająca wykonanie dowolnego kodu na hoście. Jeden z wrażliwych węzłów miał sesję administratora domeny - „exploit and get”. Co możesz zrobić, czas nie nauczył wszystkich.
„Pies Bastervilovów”
Klasycy bezpieczeństwa informacji lubią powtarzać, że najsłabszym punktem każdego systemu jest człowiek. Zauważyłeś, że powyższy nagłówek nie pasuje do nazwy sklepu? Być może nie wszyscy są tak uważni.
Zgodnie z najlepszą tradycją hitów phishingowych, Tom Hunter zarejestrował domenę, która różniła się o jedną literę od domeny Hounds of the Baskervilles. Adres pocztowy w tej domenie imitował adres służby bezpieczeństwa informacji sklepu. W ciągu 4 dni od 16:00 do 17:00 z fałszywego adresu wysłano równomiernie na 360 adresów następujący list:
Być może tylko własne lenistwo uchroniło ich przed masowym drenażem haseł pracowniczych. Z 360 listów otwarto tylko 61 - służba bezpieczeństwa nie jest zbyt popularna. Ale wtedy było łatwiej.
Strona phishingowa
W link kliknęło 46 osób, a prawie połowa – 21 pracowników – nie spojrzała na pasek adresu i spokojnie wpisywała swoje loginy i hasła. Dobry chwyt, Tomku.
Sieć Wi-Fi
Teraz nie trzeba było liczyć na pomoc kota. Tom Hunter załadował kilka kawałków żelaza do swojego starego sedana i udał się do biura Ogarów Baskerville'ów. Jego wizyta nie została uzgodniona: Tom miał zamiar przetestować Wi-Fi klienta. Na parkingu centrum biznesowego było kilka pustych miejsc, które z powodzeniem włączono w obwód docelowej sieci. Najwyraźniej nie zastanawiali się zbytnio nad jego ograniczeniem – tak jakby administratorzy na chybił trafił wbijali dodatkowe punkty w odpowiedzi na każdą skargę na słabe Wi-Fi.
Jak działają zabezpieczenia WPA/WPA2 PSK? Szyfrowanie między punktem dostępowym a klientami zapewnia klucz przedsesyjny - Pairwise Transient Key (PTK). PTK używa klucza współdzielonego i pięciu innych parametrów - SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), AP i adresy MAC klienta. Tom przechwycił wszystkie pięć parametrów i teraz brakowało tylko klucza wstępnego.
Narzędzie Hashcat brutalnie wymusiło to brakujące łącze w 50 minut - a nasz bohater trafił do sieci gościnnej. Można było już z niego zobaczyć działające - o dziwo, tutaj Tomowi udało się hasło w około dziewięć minut. A wszystko to bez wychodzenia z parkingu, bez VPN. Działająca sieć otworzyła przed naszym bohaterem przestrzenie do monstrualnych działań, ale on… nigdy nie umieścił bonusów na mapie sklepu.
Tom zatrzymał się, spojrzał na zegarek, rzucił na stół kilka banknotów i pożegnawszy się, wyszedł z kawiarni. Może znów pentest, a może jak w temacie postanowił napisać...
Źródło: www.habr.com