Atrasos na assinatura são comuns em qualquer grande empresa. O acordo entre Tom Hunter e uma rede de lojas de animais para testes completos não foi exceção. Tivemos que verificar o site, a rede interna e até o Wi-Fi funcionando.
Não é de surpreender que minhas mãos coçassem antes mesmo de todas as formalidades serem resolvidas. Bem, apenas escaneie o site para garantir, é improvável que uma loja tão conhecida como “O Cão dos Baskervilles” cometa erros aqui. Alguns dias depois, Tom finalmente recebeu o contrato original assinado - neste momento, durante a terceira caneca de café, Tom do CMS interno avaliou com interesse o estado dos armazéns...
Fonte:
Mas não foi possível gerenciar muito no CMS - os administradores do site baniram o IP de Tom Hunter. Embora fosse possível ter tempo para gerar bônus no cartão da loja e alimentar seu querido gato barato por muitos meses... “Não desta vez, Darth Sidious”, Tom pensou com um sorriso. Não seria menos interessante ir da área do site até a rede local do cliente, mas aparentemente esses segmentos não estão conectados para o cliente. Ainda assim, isso acontece com mais frequência em empresas muito grandes.
Depois de todas as formalidades, Tom Hunter armou-se com a conta VPN fornecida e acessou a rede local do cliente. A conta estava dentro do domínio do Active Directory, portanto foi possível descartar o AD sem nenhum truque especial - drenando todas as informações publicamente disponíveis sobre usuários e máquinas em funcionamento.
Tom iniciou o utilitário adfind e começou a enviar solicitações LDAP ao controlador de domínio. Com um filtro na classe objectСategory, especificando person como um atributo. A resposta voltou com a seguinte estrutura:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZAlém disso, havia muita informação útil, mas a mais interessante estava no campo >descrição: >descrição. Este é um comentário em uma conta - basicamente um local conveniente para fazer anotações menores. Mas os administradores do cliente decidiram que as senhas também poderiam permanecer ali silenciosamente. Afinal, quem poderia estar interessado em todos esses registros oficiais insignificantes? Portanto, os comentários que Tom recebeu foram:
Создал Администратор, 2018.11.16 7po!*VqnVocê não precisa ser um cientista espacial para entender por que a combinação no final é útil. Tudo o que faltou foi analisar o grande arquivo de resposta do CD usando o campo >description: e aqui estão eles - 20 pares de login-senha. Além disso, quase metade tem direitos de acesso ao RDP. Não é uma cabeça de ponte ruim, é hora de dividir as forças de ataque.
Ambiente de rede
Os bailes acessíveis dos Hounds of the Baskerville lembravam uma cidade grande em todo o seu caos e imprevisibilidade. Com perfis de usuário e RDP, Tom Hunter era um garoto falido nesta cidade, mas até ele conseguia ver muitas coisas através das janelas brilhantes da política de segurança.
Partes de servidores de arquivos, contas contábeis e até mesmo scripts associados a eles foram tornados públicos. Nas configurações de um desses scripts, Tom encontrou o hash MS SQL de um usuário. Um pouco de magia de força bruta – e o hash do usuário se transformou em uma senha de texto simples. Obrigado a John, o Estripador e Hashcat.
Esta chave deveria caber em algum baú. O baú foi encontrado e, além disso, mais dez “baús” foram associados a ele. E dentro dos seis estava... direitos de superusuário, não sistema de autoridade! Em dois deles conseguimos executar o procedimento armazenado xp_cmdshell e enviar comandos cmd para o Windows. O que mais você poderia querer?
Controladores de domínio
Tom Hunter preparou o segundo golpe para os controladores de domínio. Havia três deles na rede “Dogs of the Baskervilles”, de acordo com o número de servidores geograficamente remotos. Cada controlador de domínio tem uma pasta pública, como uma vitrine aberta em uma loja, perto da qual o mesmo pobre garoto Tom fica.
E desta vez o cara teve sorte novamente - eles esqueceram de remover o script da vitrine, onde a senha de administrador do servidor local estava codificada. Portanto, o caminho para o controlador de domínio estava aberto. Entre, Tom!
Aqui do chapéu mágico foi puxado , que lucrou com vários administradores de domínio. Tom Hunter ganhou acesso a todas as máquinas da rede local, e a risada diabólica assustou o gato da cadeira ao lado. Este percurso foi mais curto do que o esperado.
EternalBlue
A memória de WannaCry e Petya ainda está viva nas mentes dos pentesters, mas alguns administradores parecem ter esquecido o ransomware no fluxo de outras notícias noturnas. Tom descobriu três nós com vulnerabilidade no protocolo SMB - CVE-2017-0144 ou EternalBlue. Esta é a mesma vulnerabilidade usada para distribuir os ransomware WannaCry e Petya, uma vulnerabilidade que permite a execução de código arbitrário em um host. Em um dos nós vulneráveis havia uma sessão de administração de domínio - “explorar e obter”. O que você pode fazer, o tempo não ensinou a todos.
"O Cão de Basterville"
Os clássicos da segurança da informação gostam de repetir que o ponto mais fraco de qualquer sistema é a pessoa. Notou que o título acima não corresponde ao nome da loja? Talvez nem todos estejam tão atentos.
Seguindo as melhores tradições dos sucessos de bilheteria de phishing, Tom Hunter registrou um domínio que difere em uma letra do domínio “Cães de Caça dos Baskervilles”. O endereço postal neste domínio imitava o endereço do serviço de segurança da informação da loja. Ao longo de 4 dias, das 16h00 às 17h00, a seguinte carta foi enviada uniformemente para 360 endereços a partir de um endereço falso:
Talvez apenas a própria preguiça tenha salvado os funcionários do vazamento em massa de senhas. Das 360 cartas, apenas 61 foram abertas - o serviço de segurança não é muito popular. Mas então foi mais fácil.
página de phishing
46 pessoas clicaram no link e quase metade – 21 funcionários – não olhou a barra de endereço e digitou com calma seus logins e senhas. Boa captura, Tom.
Rede wi-fi
Agora não havia mais necessidade de contar com a ajuda do gato. Tom Hunter jogou vários pedaços de ferro em seu velho sedã e foi até o escritório do Cão dos Baskervilles. Sua visita não foi combinada: Tom iria testar o Wi-Fi do cliente. No parque de estacionamento do centro de negócios existiam vários espaços livres que se enquadravam convenientemente no perímetro da rede alvo. Aparentemente, eles não pensaram muito sobre sua limitação - como se os administradores estivessem cutucando aleatoriamente pontos adicionais em resposta a qualquer reclamação sobre Wi-Fi fraco.
Como funciona a segurança WPA/WPA2 PSK? A criptografia entre o ponto de acesso e os clientes é fornecida por uma chave de pré-sessão - Pairwise Transient Key (PTK). O PTK usa a chave pré-compartilhada e cinco outros parâmetros - SSID, Authenticator Nonce (ANounce), Supplicant Nonce (SNounce), ponto de acesso e endereços MAC do cliente. Tom interceptou todos os cinco parâmetros e agora faltava apenas a chave pré-compartilhada.
O utilitário Hashcat baixou esse link perdido em cerca de 50 minutos - e nosso herói acabou na rede de convidados. A partir dele você já podia ver o que estava funcionando - por incrível que pareça, aqui Tom conseguiu a senha em cerca de nove minutos. E tudo isso sem sair do estacionamento, sem VPN. A rede de trabalho abriu espaço para atividades monstruosas para o nosso herói, mas ele... nunca adicionou bônus ao cartão da loja.
Tom fez uma pausa, olhou o relógio, jogou algumas notas sobre a mesa e, despedindo-se, saiu do café. Talvez seja um pentest de novo, ou talvez esteja em pensei em escrever...
Fonte: habr.com