Întârzierile în semnare sunt comune pentru orice companie mare. Acordul dintre Tom Hunter și un lanț de magazine pentru animale de companie pentru testarea amănunțită nu a făcut excepție. A trebuit să verificăm site-ul web, rețeaua internă și chiar și Wi-Fi funcțional.
Nu este de mirare că mă mâncărime mâinile chiar înainte de a se rezolva toate formalitățile. Ei bine, doar scanați site-ul pentru orice eventualitate, este puțin probabil ca un magazin atât de binecunoscut ca „The Hound of the Baskervilles” să facă greșeli aici. Câteva zile mai târziu, lui Tom a primit în sfârșit contractul original semnat - în acest moment, la a treia cană de cafea, Tom de la CMS-ul intern a evaluat cu interes starea depozitelor...
Sursa:
Dar nu a fost posibil să gestionezi prea multe în CMS - administratorii site-ului au interzis IP-ul lui Tom Hunter. Deși ar fi posibil să ai timp să generezi bonusuri pe cardul magazinului și să-ți hrănești pisica iubita la preț ieftin timp de multe luni... „Nu de data asta, Darth Sidious”, gândi Tom zâmbind. Ar fi nu mai puțin interesant să trecem din zona site-ului la rețeaua locală a clientului, dar se pare că aceste segmente nu sunt conectate pentru client. Totuși, acest lucru se întâmplă mai des în companiile foarte mari.
După toate formalitățile, Tom Hunter s-a înarmat cu contul VPN furnizat și a mers în rețeaua locală a clientului. Contul se afla în domeniul Active Directory, așa că a fost posibil să aruncați AD fără trucuri speciale - drenând toate informațiile disponibile public despre utilizatori și mașinile care funcționează.
Tom a lansat utilitarul adfind și a început să trimită cereri LDAP către controlerul de domeniu. Cu un filtru pe clasa objectСategory, specificând persoana ca atribut. Răspunsul a revenit cu următoarea structură:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZPe lângă acestea, au existat o mulțime de informații utile, dar cele mai interesante au fost în câmpul >descriere: >descriere. Acesta este un comentariu asupra unui cont - practic un loc convenabil pentru a păstra note minore. Dar administratorii clientului au decis că și parolele ar putea sta acolo în liniște. Pe cine, la urma urmei, ar putea fi interesat de toate aceste înregistrări oficiale nesemnificative? Deci comentariile primite de Tom au fost:
Создал Администратор, 2018.11.16 7po!*VqnNu trebuie să fii un expert în rachete pentru a înțelege de ce combinația de la sfârșit este utilă. Tot ce a rămas a fost să analizăm fișierul mare de răspuns de pe CD folosind câmpul >descriere: și aici erau - 20 de perechi login-parolă. Mai mult, aproape jumătate au drepturi de acces RDP. Nu este un cap de pod rău, este timpul să împărțim forțele atacatoare.
reţea
Balurile accesibile Hounds of the Baskerville aminteau de un oraș mare în tot haosul și imprevizibilitatea lui. Cu profiluri de utilizator și RDP, Tom Hunter era un băiat fără probleme în acest oraș, dar chiar și el a reușit să vadă o mulțime de lucruri prin ferestrele strălucitoare ale politicii de securitate.
Părți din serverele de fișiere, conturile de contabilitate și chiar scripturile asociate acestora au fost toate făcute publice. În setările unuia dintre aceste scripturi, Tom a găsit hash-ul MS SQL al unui utilizator. Puțină magie de forță brută - și hash-ul utilizatorului s-a transformat într-o parolă text simplu. Mulțumim lui John The Ripper și Hashcat.
Această cheie ar fi trebuit să se potrivească cu un piept. Cufărul a fost găsit și, mai mult, încă zece „cufere” au fost asociate cu el. Și în interiorul celor șase... drepturi de superutilizator, sistem de autoritate! Pe două dintre ele am putut să rulăm procedura stocată xp_cmdshell și să trimitem comenzi cmd către Windows. Ce ai putea dori mai mult?
Controlere de domeniu
Tom Hunter a pregătit a doua lovitură pentru controlorii de domeniu. Erau trei dintre ei în rețeaua „Câinii din Baskerville”, în funcție de numărul de servere la distanță geografică. Fiecare controler de domeniu are un folder public, ca o vitrină deschisă într-un magazin, lângă care se întâlnește același biet băiat Tom.
Și de data aceasta tipul a fost din nou norocos - au uitat să elimine scriptul din vitrina, unde parola de administrator al serverului local a fost codificată. Deci calea către controlerul de domeniu era deschisă. Intră, Tom!
Aici din pălăria magică a fost trasă , care a profitat de mai mulți administratori de domenii. Tom Hunter a obținut acces la toate aparatele din rețeaua locală, iar râsul diavolesc a speriat pisica de pe scaunul alăturat. Acest traseu a fost mai scurt decât se aștepta.
EternalBlue
Amintirea lui WannaCry și Petya este încă vie în mintea pentesterilor, dar unii administratori par să fi uitat de ransomware în fluxul altor știri de seară. Tom a descoperit trei noduri cu o vulnerabilitate în protocolul SMB - CVE-2017-0144 sau EternalBlue. Aceasta este aceeași vulnerabilitate care a fost folosită pentru a distribui ransomware-ul WannaCry și Petya, o vulnerabilitate care permite executarea unui cod arbitrar pe o gazdă. Pe unul dintre nodurile vulnerabile a existat o sesiune de administrare a domeniului - „exploat and get it.” Ce poți face, timpul nu a învățat pe toată lumea.
„Câinele lui Basterville”
Clasicilor securității informațiilor le place să repete că cel mai slab punct al oricărui sistem este persoana. Observați că titlul de mai sus nu se potrivește cu numele magazinului? Poate că nu toți sunt atât de atenți.
În cele mai bune tradiții ale succeselor de phishing, Tom Hunter a înregistrat un domeniu care diferă printr-o literă de domeniul „Hounds of the Baskervilles”. Adresa poștală de pe acest domeniu a imitat adresa serviciului de securitate a informațiilor din magazin. Pe parcursul a 4 zile, între orele 16:00 și 17:00, următoarea scrisoare a fost trimisă uniform la 360 de adrese de la o adresă falsă:
Poate că doar propria lenea i-a salvat pe angajați de scurgerea în masă a parolelor. Din 360 de scrisori, doar 61 au fost deschise - serviciul de securitate nu este foarte popular. Dar apoi a fost mai ușor.
Pagina de phishing
46 de persoane au dat clic pe link și aproape jumătate - 21 de angajați - nu s-au uitat la bara de adrese și și-au introdus calm login-urile și parolele. Frumoasă captură, Tom.
Rețea Wi-Fi
Acum nu mai era nevoie să se bazeze pe ajutorul pisicii. Tom Hunter a aruncat mai multe bucăți de fier în vechea lui sedan și s-a dus la biroul Ogarului din Baskerville. Vizita lui nu a fost convenită: Tom urma să testeze Wi-Fi-ul clientului. În parcarea centrului de afaceri existau mai multe spații libere care erau convenabil incluse în perimetrul rețelei țintă. Aparent, nu s-au gândit prea mult la limitarea acesteia - ca și cum administratorii ar fi scos la întâmplare puncte suplimentare ca răspuns la orice plângere despre Wi-Fi slab.
Cum funcționează securitatea WPA/WPA2 PSK? Criptarea între punctul de acces și clienți este asigurată de o cheie de pre-sesiune - Pairwise Transient Key (PTK). PTK folosește cheia pre-partajată și alți cinci parametri - SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), punct de acces și adrese MAC ale clientului. Tom a interceptat toți cei cinci parametri și acum lipsea doar cheia pre-partajată.
Utilitarul Hashcat a descărcat această legătură lipsă în aproximativ 50 de minute - iar eroul nostru a ajuns în rețeaua de invitați. Din el o puteai vedea deja pe cea funcțională - destul de ciudat, aici Tom a gestionat parola în aproximativ nouă minute. Și toate acestea fără a părăsi parcarea, fără nici un VPN. Rețeaua de lucru a deschis spațiu pentru activități monstruoase pentru eroul nostru, dar el... nu a adăugat niciodată bonusuri cardului magazinului.
Tom făcu o pauză, se uită la ceas, aruncă câteva bancnote pe masă și, luându-și la revedere, părăsi cafeneaua. Poate că este din nou un pentest, sau poate este în m-am gandit sa scriu...
Sursa: www.habr.com