වරක් pentest මත, හෝ මුත්රා සහ Roskomnadzor උපකාරයෙන් සියල්ල බිඳ දමන්නේ කෙසේද?

මෙම ලිපිය ලියා ඇත්තේ මීට වසර කිහිපයකට පෙර Group-IB විශේෂඥයින් විසින් පවත්වන ලද ඉතා සාර්ථක pentest එකක් පදනම් කරගෙන ය: බොලිවුඩයේ චිත්‍රපටයකට අනුවර්තනය කළ හැකි කතාවක් සිදු විය. දැන්, බොහෝ විට, පාඨකයාගේ ප්රතිචාරය අනුගමනය කරනු ඇත: "අනේ, තවත් PR ලිපියක්, නැවතත් මේවා නිරූපණය කෙරේ, ඒවා කොතරම් හොඳද, පෙන්ටෙස්ට් එකක් මිලදී ගැනීමට අමතක නොකරන්න." හොඳයි, එක් අතකින්, එය එසේ ය. කෙසේ වෙතත්, මෙම ලිපිය දර්ශනය වීමට තවත් හේතු ගණනාවක් තිබේ. මට අවශ්‍ය වූයේ පෙන්ටෙස්ටර්වරුන් කරන්නේ කුමක්ද, මෙම කාර්යය කෙතරම් සිත්ගන්නාසුළු හා සුළු නොවන දෙයක් විය හැකිද, ව්‍යාපෘතිවල ඇති විය හැකි හාස්‍යජනක තත්වයන් සහ වඩාත්ම වැදගත් දෙය නම් සැබෑ උදාහරණ සමඟ සජීවී තොරතුරු පෙන්වීමටය.

ලෝකයේ නිහතමානී බවේ සමතුලිතතාවය යථා තත්වයට පත් කිරීම සඳහා, අපි ටික වේලාවකට පසු හරි නොගිය පෙන්ටෙස්ට් එකක් ගැන ලියන්නෙමු. මෙම ක්‍රියාවලීන් පවතින නිසා සහ සැබවින්ම ක්‍රියාත්මක වන නිසා, සමාගමක හොඳින් සැලසුම් කරන ලද ක්‍රියාවලීන් සමස්ත ප්‍රහාර මාලාවකින්, හොඳින් සූදානම් වූ අයගෙන් පවා ආරක්ෂා වන්නේ කෙසේදැයි අපි පෙන්වන්නෙමු.

මෙම ලිපියේ පාරිභෝගිකයා සඳහා, අපගේ හැඟීම් වලට අනුව, සෑම දෙයක්ම සාමාන්‍යයෙන් විශිෂ්ටයි, අවම වශයෙන් රුසියානු සමූහාණ්ඩුවේ වෙළඳපලෙන් 95% ට වඩා හොඳයි, නමුත් දිගු සිදුවීම් දාමයක් සෑදූ කුඩා සූක්ෂ්මතා ගණනාවක් තිබුණි. වැඩ පිළිබඳ දීර්ඝ වාර්තාවකට මඟ පෑදී, පසුව මෙම ලිපියට.

ඉතින්, අපි පොප්කෝන් ගබඩා කර, රහස් පරීක්ෂක කතාවට සාදරයෙන් පිළිගනිමු. වචනය - Pavel Suprunyuk, Group-IB හි "විගණන සහ උපදේශන" දෙපාර්තමේන්තුවේ තාක්ෂණික කළමනාකරු.

1 කොටස. Pochkin වෛද්යවරයා

2018 පාරිභෝගිකයෙකු සිටී - අධි තාක්‍ෂණික තොරතුරු තාක්ෂණ සමාගමක්, එයම බොහෝ සේවාදායකයින්ට සේවය කරයි. ප්‍රශ්නයට පිළිතුරක් ලබා ගැනීමට අවශ්‍ය වේ: කිසිදු මූලික දැනුමක් සහ ප්‍රවේශයකින් තොරව, අන්තර්ජාලය හරහා වැඩ කරමින්, Active Directory වසම් පරිපාලක අයිතිවාසිකම් ලබා ගත හැකිද? මම කිසිම සමාජ ඉංජිනේරු විද්‍යාවකට උනන්දු නොවෙමි (ඔහ්, නමුත් නිෂ්ඵලයි), ඔවුන් හිතාමතාම කාර්යයට බාධා කිරීමට අදහස් නොකරයි, නමුත් ඔවුන් අහම්බෙන් - අමුතු ලෙස වැඩ කරන සේවාදායකයක් නැවත පූරණය කළ හැකිය. අතිරේක ඉලක්කයක් වන්නේ පිටත පරිමිතියට එරෙහිව හැකි තරම් වෙනත් ප්රහාරක වාහකයන් හඳුනා ගැනීමයි. සමාගම නිතිපතා එවැනි පරීක්ෂණ පවත්වන අතර දැන් නව පරීක්ෂණයක් සඳහා නියමිත කාලසීමාව පැමිණ තිබේ. කොන්දේසි පාහේ සාමාන්ය, ප්රමාණවත්, තේරුම් ගත හැකි ය. අපි පටන් ගනිමු.

පාරිභෝගිකයාගේ නමක් ඇත - එය ප්‍රධාන වෙබ් අඩවිය සමඟ “සමාගම” වීමට ඉඩ දෙන්න www.company.ru. ඇත්ත වශයෙන්ම, පාරිභෝගිකයා වෙනස් ලෙස හැඳින්වේ, නමුත් මෙම ලිපියේ සෑම දෙයක්ම පුද්ගල නොවන වනු ඇත.
මම ජාල ඔත්තු බැලීමක් සිදු කරමි - පාරිභෝගිකයා සමඟ ලියාපදිංචි වී ඇති ලිපින සහ වසම් සොයා ගන්න, ජාල රූප සටහනක් අඳින්න, මෙම ලිපිනවලට සේවා බෙදා හරින ආකාරය. මට ප්‍රතිඵලය ලැබේ: සජීවී IP ලිපින 4000 කට වඩා. මම මෙම ජාල වල වසම් දෙස බලමි: වාසනාවකට මෙන්, අතිමහත් බහුතරයක් පාරිභෝගිකයින්ගේ ගනුදෙනුකරුවන් සඳහා අදහස් කරන ජාල වන අතර, අපි ඔවුන් ගැන විධිමත් උනන්දුවක් නොදක්වයි. පාරිභෝගිකයා සිතන්නේ එයම ය.

ලිපින 256 ක් සහිත එක් ජාලයක් ඉතිරිව ඇත, ඒ සඳහා මේ මොහොත වන විට IP ලිපින මගින් වසම් සහ උප ඩොමේන් බෙදා හැරීම පිළිබඳ අවබෝධයක් ඇත, ස්කෑන් කරන ලද වරායන් පිළිබඳ තොරතුරු තිබේ, එයින් අදහස් කරන්නේ ඔබට රසවත් ඒවා සඳහා සේවාවන් දෙස බැලිය හැකි බවයි. සමාන්තරව, සියලු වර්ගවල ස්කෑනර් ලබා ගත හැකි IP ලිපිනවල සහ වෙබ් අඩවිවල වෙන වෙනම දියත් කෙරේ.

සේවා ගොඩක් තියෙනවා. සාමාන්‍යයෙන් මෙය පෙන්ටෙස්ටර්ට ප්‍රීතියක් වන අතර ඉක්මන් ජයග්‍රහණයක් අපේක්ෂා කරයි, මන්ද සේවා වැඩි වන තරමට ප්‍රහාර සඳහා ක්ෂේත්‍රය විශාල වන අතර කෞතුක වස්තුවක් සොයා ගැනීම පහසු වේ. වෙබ් අඩවි ක්ෂණිකව බැලීමෙන් පෙනී ගියේ ඒවායින් බොහොමයක් විශාල ගෝලීය සමාගම්වල සුප්‍රසිද්ධ නිෂ්පාදනවල වෙබ් අතුරුමුහුණත් වන අතර ඒවා සියලු පෙනුමෙන් ඔබට සාදරයෙන් පිළිගත නොහැකි බවයි. ඔවුන් පරිශීලක නාමයක් සහ මුරපදයක් ඉල්ලයි, දෙවන සාධකය ඇතුළු කිරීම සඳහා ක්ෂේත්‍රය සොලවයි, TLS සේවාදායක සහතිකයක් ඉල්ලයි, නැතහොත් එය Microsoft ADFS වෙත යවයි. සමහර ඒවා අන්තර්ජාලයෙන් සරලව ප්‍රවේශ විය නොහැක. සමහරක් සඳහා, ඔබට පැහැදිලිවම වැටුප් තුනක් සඳහා විශේෂ ගෙවන සේවාලාභියෙකු සිටිය යුතුය හෝ ඇතුල් වීමට නිශ්චිත URL දැන සිටිය යුතුය. දන්නා දුර්වලතා සඳහා මෘදුකාංග අනුවාද "බිඳීමට" උත්සාහ කිරීම, වෙබ් මාර්ගවල සැඟවුණු අන්තර්ගතයන් සෙවීම සහ LinkedIn වැනි තෙවන පාර්ශවීය සේවාවන්ගෙන් කාන්දු වූ ගිණුම් සෙවීම, ඒවා භාවිතයෙන් මුරපද අනුමාන කිරීමට උත්සාහ කිරීමේ ක්‍රියාවලියේ තවත් සතියක් ක්‍රමානුකූලව බලාපොරොත්තු සුන්වීම මඟ හරින්නෙමු. ස්වයං-ලිඛිත වෙබ් අඩවි වල කැණීම් දුර්වලතා ලෙස - මාර්ගය වන විට, සංඛ්යා ලේඛනවලට අනුව, අද බාහිර ප්රහාරයේ වඩාත්ම පොරොන්දු වූ දෛශිකය මෙයයි. පසුව වෙඩි තැබූ සිනමා තුවක්කුව මම වහාම සටහන් කරමි.

ඉතින්, අපි සේවා සිය ගණනකින් කැපී පෙනෙන අඩවි දෙකක් සොයාගත්තා. මෙම වෙබ් අඩවි වලට එක පොදු දෙයක් තිබුණි: ඔබ වසම මගින් සුපරික්ෂාකාරී ජාල ඔත්තු බැලීමේ නිරත නොවන්නේ නම්, නමුත් විවෘත වරායන් සඳහා හිස ඔසවන්නේ නම් හෝ දන්නා IP පරාසයක් භාවිතා කරමින් අවදානම් ස්කෑනරයක් ඉලක්ක කරන්නේ නම්, මෙම වෙබ් අඩවි පරිලෝකනය කිරීමෙන් බේරෙනු ඇති අතර ඒවා සරලව සිදු නොවනු ඇත. DNS නම නොදැන දෘශ්‍යමාන වේ. සමහර විට ඒවා කලින් මග හැරී ඇති අතර, අවම වශයෙන්, අපගේ ස්වයංක්‍රීය මෙවලම් ඔවුන් සමඟ කිසිදු ගැටළුවක් සොයා ගත්තේ නැත, ඒවා කෙලින්ම සම්පත් වෙත යවනු ලැබුවද.

මාර්ගය වන විට, කලින් දියත් කරන ලද ස්කෑනර් සාමාන්යයෙන් සොයාගත් දේ ගැන. මම ඔබට මතක් කර දෙන්නම්: සමහර පුද්ගලයන් සඳහා, "pentest" යනු "ස්වයංක්‍රීය ස්කෑන්" ට සමාන වේ. නමුත් මෙම ව්යාපෘතියේ ස්කෑනර් කිසිවක් නොකියයි. හොඳයි, උපරිමය පෙන්නුම් කළේ මධ්‍යම දුර්වලතා (තීව්‍රතාවය අනුව 3න් 5ක්): සමහර සේවාවක නරක TLS සහතිකයක් හෝ යල් පැන ගිය සංකේතන ඇල්ගොරිතම සහ බොහෝ අඩවි වල Clickjacking. නමුත් මෙය ඔබගේ ඉලක්කය කරා නොයනු ඇත. සමහර විට ස්කෑනර් මෙහි වඩාත් ප්‍රයෝජනවත් වනු ඇත, නමුත් මම ඔබට මතක් කර දෙන්නම්: පාරිභෝගිකයාටම එවැනි වැඩසටහන් මිලදී ගැනීමට සහ ඒවා සමඟ තමා පරීක්ෂා කිරීමට හැකි වන අතර, නරක ප්‍රති results ල අනුව විනිශ්චය කිරීම, ඔහු දැනටමත් පරීක්ෂා කර ඇත.

අපි "විෂම" අඩවි වෙත ආපසු යමු. පළමුවැන්න සම්මත නොවන ලිපිනයක දේශීය විකියක් වැනි දෙයකි, නමුත් මෙම ලිපියේ එය wiki.company[.]ru වීමට ඉඩ දෙන්න. ඇය වහාම පිවිසුම් සහ මුරපදයක් ඉල්ලා සිටියාය, නමුත් බ්‍රවුසරයේ NTLM හරහා. පරිශීලකයා සඳහා, මෙය පරිශීලක නාමයක් සහ මුරපදයක් ඇතුළත් කිරීමට ඉල්ලා සිටින තාපස කවුළුවක් ලෙස පෙනේ. ඒ වගේම මේක නරක පුරුද්දක්.

කුඩා සටහනක්. පරිමිතිය වෙබ් අඩවි වල NTLM හේතු ගණනාවක් නිසා නරක ය. පළමු හේතුව වන්නේ Active Directory ඩොමේන් නාමය අනාවරණය වීමයි. අපගේ උදාහරණයේ දී, එය "බාහිර" DNS නම මෙන්, company.ru බවට පත් විය. මෙය දැන ගැනීමෙන්, ඔබට අනිෂ්ට දෙයක් ප්‍රවේශමෙන් සකස් කළ හැකි අතර එමඟින් එය ක්‍රියාත්මක වන්නේ සංවිධානයේ වසම් යන්ත්‍රය මත මිස වැලි පෙට්ටියක නොවේ. දෙවනුව, සත්‍යාපනය NTLM හරහා සෘජුවම වසම් පාලකය හරහා යයි (පුදුමයක්, හරිද?), "අභ්‍යන්තර" ජාල ප්‍රතිපත්තිවල සියලුම විශේෂාංග, මුරපද ඇතුළත් කිරීමේ උත්සාහයන් ගණන ඉක්මවා යාමෙන් ගිණුම් අවහිර කිරීම ඇතුළුව. ප්‍රහාරකයෙකු පිවිසුම් සොයා ගන්නේ නම්, ඔහු ඒවා සඳහා මුරපද උත්සාහ කරයි. වැරදි මුරපද ඇතුළත් කිරීමෙන් ගිණුම් අවහිර කිරීමට ඔබ වින්‍යාස කර ඇත්නම්, එය ක්‍රියාත්මක වන අතර ගිණුම අවහිර කරනු ලැබේ. තෙවනුව, එවැනි සත්‍යාපනයට දෙවන සාධකයක් එකතු කළ නොහැක. පාඨකයන්ගෙන් කවුරුහරි තවමත් දන්නේ නම්, කරුණාකර මට දන්වන්න, එය ඇත්තෙන්ම සිත්ගන්නා සුළුය. හතරවනුව, pass-the-hash ප්‍රහාරවලට ඇති අවදානම. මේ සියල්ලෙන් ආරක්ෂා වීමට වෙනත් දේ අතර ADFS සොයා ගන්නා ලදී.

මයික්‍රොසොෆ්ට් නිෂ්පාදනවල එක් නරක ගුණාංගයක් ඇත: ඔබ එවැනි NTLM නිශ්චිතව ප්‍රකාශ නොකළද, එය අවම වශයෙන් OWA සහ Lync හි පෙරනිමියෙන් ස්ථාපනය කරනු ඇත.

මාර්ගය වන විට, මෙම ලිපියේ කතුවරයා වරක් එකම ක්‍රමය භාවිතා කරමින් එක් පැයක් තුළ එක් විශාල බැංකුවක සේවකයින්ගේ ගිණුම් 1000 ක් පමණ අහම්බෙන් අවහිර කර පසුව තරමක් සුදුමැලි වී ඇත. බැංකුවේ තොරතුරු තාක්ෂණ සේවාවන් ද සුදුමැලි විය, නමුත් සියල්ල හොඳින් හා ප්‍රමාණවත් ලෙස අවසන් විය, මෙම ගැටලුව සොයා ගැනීමට සහ ඉක්මන් හා තීරණාත්මක විසඳුමක් ඇති කළ පළමු පුද්ගලයා වීම ගැන අපට ප්‍රශංසා පවා හිමි විය.

දෙවන වෙබ් අඩවියේ "පැහැදිලිවම යම් ආකාරයක අවසාන නමක්.company.ru" යන ලිපිනය තිබුණි. එය Google හරහා සොයා ගන්නා ලදී, 10 පිටුවේ මෙවැනි දෙයක්. මෙම නිර්මාණය XNUMX දශකයේ මුල් භාගයේ මැද භාගයේ සිට වූ අතර, ගෞරවනීය පුද්ගලයෙක් එය ප්‍රධාන පිටුවෙන් බලා සිටියේය, මේ වගේ දෙයක්:

මෙන්න මම "බල්ලාගේ හදවත" වෙතින් නිශ්චලයක් ගත්තා, නමුත් මාව විශ්වාස කරන්න, එය නොපැහැදිලි ලෙස සමාන විය, වර්ණ මෝස්තරය පවා සමාන ස්වරයෙන් විය. වෙබ් අඩවිය ඇමතීමට ඉඩ දෙන්න preobrazhensky.company.ru.

එය මුත්‍රා රෝග විශේෂඥ වෛද්‍යවරයකු සඳහා වූ පුද්ගලික වෙබ් අඩවියකි. අධි තාක්‍ෂණික සමාගමක උප ඩොමේනය මත urologist ගේ වෙබ් අඩවිය කරන්නේ කුමක්දැයි මම කල්පනා කළෙමි. මෙම වෛද්‍යවරයා අපගේ පාරිභෝගිකයාගේ නීත්‍යානුකූල ආයතනයක සම-නිර්මාතෘවරයෙකු වන අතර බලයලත් ප්‍රාග්ධනයට රුබල් 1000ක් පමණ දායක කර ඇති බව Google වෙත ඉක්මන් ගවේෂණයකින් පෙනී ගියේය. වෙබ් අඩවිය බොහෝ විට වසර ගණනාවකට පෙර නිර්මාණය කර ඇති අතර, පාරිභෝගිකයාගේ සේවාදායක සම්පත් සත්කාරක ලෙස භාවිතා කර ඇත. වෙබ් අඩවිය දිගු කලක් එහි අදාළත්වය නැති වී ඇත, නමුත් කිසියම් හේතුවක් නිසා එය දිගු කාලයක් වැඩ කිරීමට ඉතිරි විය.

දුර්වලතා සම්බන්ධයෙන් ගත් කල, වෙබ් අඩවියම ආරක්ෂිත විය. ඉදිරිය දෙස බලන විට, එය ස්ථිතික තොරතුරු සමූහයක් බව මම කියමි - සරල html පිටු වකුගඩු සහ මුත්‍රාශයේ ස්වරූපයෙන් ඇතුළු කරන ලද නිදර්ශන. එවැනි වෙබ් අඩවියක් "බිඳ දැමීම" නිෂ්ඵල ය.

නමුත් යටින් ඇති වෙබ් සේවාදායකය වඩාත් සිත්ගන්නා සුළු විය. HTTP Server ශීර්ෂය අනුව විනිශ්චය කිරීම, එහි IIS 6.0 තිබුණි, එනම් එය වින්ඩෝස් 2003 මෙහෙයුම් පද්ධතිය ලෙස භාවිතා කළේය. මෙම විශේෂිත urologist වෙබ් අඩවිය, එකම වෙබ් සේවාදායකයේ ඇති අනෙකුත් අතථ්‍ය සත්කාරක මෙන් නොව, PROPFIND විධානයට ප්‍රතිචාර දැක්වූ බව ස්කෑනරය කලින් හඳුනාගෙන ඇත, එයින් අදහස් වන්නේ එය WebDAV ක්‍රියාත්මක වන බවයි. මාර්ගය වන විට, ස්කෑනරය මෙම තොරතුරු සලකුණු තොරතුරු සමඟ ආපසු ලබා දුන්නේය (ස්කෑනර් වාර්තා වල භාෂාවෙන්, මෙය අඩුම අන්තරාය වේ) - එවැනි දේවල් සාමාන්‍යයෙන් සරලව මඟ හරිනු ලැබේ. ඒකාබද්ධව, මෙය සිත්ගන්නාසුලු බලපෑමක් ලබා දුන්නේය, එය Google හි තවත් හෑරීමෙන් පසුව පමණක් අනාවරණය විය: සෙවනැලි තැරැව්කරුවන්ගේ කට්ටලය හා සම්බන්ධ දුර්ලභ බෆර පිටාර ගැලීමේ අවදානමක්, එනම් CVE-2017-7269, එය දැනටමත් සූදානම් කර ඇති සූරාකෑමක් විය. වෙනත් වචන වලින් කිවහොත්, ඔබට Windows 2003 තිබේ නම් සහ WebDAV IIS මත ක්‍රියාත්මක වන්නේ නම් ගැටළු ඇති වේ. 2003 දී නිෂ්පාදනයේ වින්ඩෝස් 2018 ධාවනය වුවද එයම ගැටලුවකි.

සූරාකෑම Metasploit හි අවසන් වූ අතර පාලිත සේවාවකට DNS ඉල්ලීමක් යවන ලද භාරයක් සමඟ වහාම පරීක්ෂා කරන ලදී - Burp Collaborator සම්ප්‍රදායිකව DNS ඉල්ලීම් අල්ලා ගැනීමට භාවිතා කරයි. මගේ පුදුමයට, එය පළමු වරට ක්‍රියාත්මක විය: DNS knockout එකක් ලැබුණි. ඊළඟට, පෝට් 80 හරහා බැක් කනෙක්ට් එකක් සෑදීමට උත්සාහයක් විය (එනම්, සේවාදායකයේ සිට ප්‍රහාරකයාට ජාල සම්බන්ධතාවයක්, වින්දිත ධාරකයේ cmd.exe වෙත ප්‍රවේශය ඇත), නමුත් පසුව අසාර්ථකත්වයක් සිදුවිය. සම්බන්ධතාවය නොපැමිණි අතර, වෙබ් අඩවිය භාවිතා කිරීමට තුන්වන උත්සාහයෙන් පසුව, සියලු රසවත් පින්තූර සමඟ සදහටම අතුරුදහන් විය.

සාමාන්‍යයෙන් මෙය අනුගමනය කරන්නේ “පාරිභෝගිකයා, අවදි වන්න, අපි සියල්ල අතහැර දැමුවෙමු” යන ශෛලියේ ලිපියකි. නමුත් මෙම වෙබ් අඩවිය ව්‍යාපාරික ක්‍රියාවලීන් සමඟ කිසිදු සම්බන්ධයක් නොමැති බවත්, සමස්ත සේවාදායකය මෙන් කිසිදු හේතුවක් නොමැතිව එහි ක්‍රියා කරන බවත්, අපට මෙම සම්පත අපට අවශ්‍ය පරිදි භාවිතා කළ හැකි බවත් අපට පැවසුවා.
දවසකට විතර පස්සේ එකපාරටම සයිට් එක තනියම වැඩ කරන්න ගත්තා. IIS 6.0 මත WebDAV වෙතින් බංකුවක් ගොඩනගා ඇති බැවින්, සෑම පැය 30 කට වරක් IIS සේවක ක්‍රියාවලි නැවත ආරම්භ කිරීම පෙරනිමි සැකසුම බව මට පෙනී ගියේය. එනම්, පාලනය shellcode වලින් පිට වූ විට, IIS සේවක ක්‍රියාවලිය අවසන් විය, පසුව එය කිහිප වතාවක්ම නැවත ආරම්භ වී පැය 30ක් විවේක ගැනීමට ගියේය.

tcp වෙත බැක් කනෙක්ට් එක පළමු වරට අසාර්ථක වූ බැවින්, මම මෙම ගැටලුව සංවෘත වරායකට ආරෝපණය කළෙමි. එනම්, පිටතට යන සම්බන්ධතා පිටතට යාමට ඉඩ නොදෙන යම් ආකාරයක ෆයර්වෝලයක් පවතින බව ඔහු උපකල්පනය කළේය. මම බොහෝ tcp සහ udp ports හරහා සෙවූ shellcodes ධාවනය කිරීමට පටන් ගත්තෙමි, කිසිදු බලපෑමක් නැත. Metasploit වෙතින් http(s) හරහා ප්‍රතිලෝම සම්බන්ධතා පූරණය ක්‍රියා කළේ නැත - meterpreter/reverse_http(s). හදිසියේම, එම වරාය 80 වෙත සම්බන්ධතාවයක් ස්ථාපිත වූ නමුත් වහාම පහත වැටුණි. මීට්ප්‍රෙටර් ට්‍රැෆික් එකට අකමැති තවමත් මනඃකල්පිත IPS ගේ ක්‍රියාව මම මෙයට ආරෝපණය කළෙමි. පෝට් 80 වෙත පිරිසිදු tcp සම්බන්ධතාවයක් සිදු නොවූ නමුත් http සම්බන්ධතාවයක් සිදු වූ හෙයින්, මම http ප්‍රොක්සියක් පද්ධතිය තුළ කෙසේ හෝ වින්‍යාස කර ඇති බව නිගමනය කළෙමි.

මම DNS හරහා meterpreter පවා උත්සාහ කළා (ස්තුතියි d00kie ඔබගේ උත්සාහය සඳහා, බොහෝ ව්‍යාපෘති සුරැකි), පළමු සාර්ථකත්වය සිහිපත් කරමින්, නමුත් එය ස්ථාවරයේ පවා ක්‍රියා කළේ නැත - මෙම අවදානම සඳහා ෂෙල් කේතය විශාල විය.

යථාර්ථයේ දී, එය මෙසේ දිස් විය: මිනිත්තු 3 ක් ඇතුළත ප්රහාර 4-5 උත්සාහයන්, පසුව පැය 30 ක් බලා සිටීම. ඒ වගේම සති තුනක් එක දිගට. කාලය නාස්ති නොකිරීමට මම මතක් කිරීමක් පවා තැබුවෙමි. මීට අමතරව, පරීක්ෂණ සහ නිෂ්පාදන පරිසරයන්හි හැසිරීම් වල වෙනසක් විය: මෙම අවදානම සඳහා සමාන සූරාකෑම් දෙකක් තිබුණි, එකක් Metasploit වෙතින්, දෙවනුව අන්තර්ජාලයෙන්, Shadow Brokers අනුවාදයෙන් පරිවර්තනය කරන ලදී. ඉතින්, Metasploit පමණක් සටනේදී පරීක්‍ෂා කරන ලද අතර, දෙවන එක පමණක් බංකුව මත පරීක්‍ෂා කරන ලද අතර, එය දෝශ නිරාකරණය වඩාත් අපහසු වූ අතර මොළය විනාශ කරන ලදී.

අවසානයේදී, http හරහා ලබා දී ඇති සේවාදායකයකින් exe ගොනුවක් බාගත කර ඉලක්කගත පද්ධතියට දියත් කළ shellcode එකක් ඵලදායී බව ඔප්පු විය. shellcode එක ගැළපෙන තරමට කුඩා වූවත් අඩුම තරමින් එය ක්‍රියාත්මක විය. සේවාදායකය TCP ගමනාගමනයට කිසිසේත් කැමති නැති නිසාත්, http(s) meterpreter තිබේදැයි පරීක්‍ෂා කළ නිසාත්, වේගවත්ම ක්‍රමය DNS-meterpreter අඩංගු exe ගොනුවක් මෙම shellcode හරහා බාගත කිරීම බව මම තීරණය කළෙමි.

මෙන්න නැවතත් ගැටළුවක් මතු විය: exe ගොනුවක් බාගත කිරීමේදී සහ උත්සාහයන් පෙන්නුම් කළ පරිදි, කුමන එකක් වුවද බාගත කිරීම බාධා විය. නැවතත්, මගේ සේවාදායකය සහ urologist අතර ඇති සමහර ආරක්ෂක උපාංගයක් ඇතුළත exe සමඟ http තදබදයට කැමති නොවීය. "ඉක්මන්" විසඳුම ලෙස පෙනුනේ shellcode වෙනස් කිරීම නිසා එය පියාසර කිරීමේදී http ගමනාගමනය අපැහැදිලි වන පරිදි exe වෙනුවට වියුක්ත ද්විමය දත්ත මාරු කරනු ලැබේ. අවසාන වශයෙන්, ප්‍රහාරය සාර්ථක විය, තුනී DNS නාලිකාව හරහා පාලනය ලැබුණි:

මට කිසිවක් කිරීමට ඉඩ නොදෙන මූලික IIS කාර්ය ප්‍රවාහ අයිතීන් මා සතුව ඇති බව වහාම පැහැදිලි විය. Metasploit කොන්සෝලය මත දිස් වූයේ මෙයයි:

ප්‍රවේශය ලබා ගැනීමේදී අයිතීන් වැඩි කිරීමට අවශ්‍ය බව සියලුම pentest ක්‍රමවේද දැඩි ලෙස යෝජනා කරයි. මම සාමාන්‍යයෙන් මෙය දේශීයව නොකරමි, මන්ද පළමු ප්‍රවේශය හුදෙක් ජාල ප්‍රවේශ ලක්ෂ්‍යයක් ලෙස සලකන අතර, එම ජාලයේම වෙනත් යන්ත්‍රයක් සම්මුතියකට ලක් කිරීම සාමාන්‍යයෙන් පවතින ධාරකයක වරප්‍රසාද වැඩි කිරීමට වඩා පහසු සහ වේගවත් වේ. නමුත් DNS නාලිකාව ඉතා පටු බැවින් ගමනාගමනය ඉවත් කිරීමට ඉඩ නොදෙන බැවින් මෙහි මෙය එසේ නොවේ.

සුප්‍රසිද්ධ MS2003-17 දුර්වලතාවයට මෙම Windows 010 සේවාදායකය අලුත්වැඩියා කර නොමැති බව උපකල්පනය කරමින්, මම localhost හි meterpreter DNS උමං මාර්ගය හරහා 445/TCP වරායට මාර්ග තදබදය (ඔව්, මෙයද කළ හැකිය) සහ කලින් බාගත කළ exe ධාවනය කිරීමට උත්සාහ කරමි. අවදානම. ප්‍රහාරය ක්‍රියා කරයි, මට දෙවන සම්බන්ධතාවයක් ලැබේ, නමුත් SYSTEM අයිතිවාසිකම් සමඟ.

ඔවුන් තවමත් MS17-010 වෙතින් සේවාදායකය ආරක්ෂා කිරීමට උත්සාහ කිරීම සිත්ගන්නා කරුණකි - එය බාහිර අතුරුමුහුණත මත අවදානමට ලක්විය හැකි ජාල සේවා අක්‍රීය කර ඇත. මෙය ජාලය හරහා එල්ල වන ප්‍රහාර වලින් ආරක්ෂා කරයි, නමුත් Localhost හි SMB ඉක්මනින් ක්‍රියා විරහිත කළ නොහැකි බැවින්, ප්‍රදේශයේ අභ්‍යන්තරයෙන් ප්‍රහාරය ක්‍රියාත්මක විය.

ඊළඟට, නව රසවත් තොරතුරු අනාවරණය වේ:

1. SYSTEM අයිතිවාසිකම් තිබීම, ඔබට පහසුවෙන් TCP හරහා පසු සම්බන්ධතාවයක් ස්ථාපිත කළ හැක. පැහැදිලිවම, සෘජු TCP අක්‍රිය කිරීම සීමිත IIS පරිශීලකයින් සඳහා දැඩි ගැටලුවකි. ස්පොයිලර්: IIS පරිශීලක ගමනාගමනය කෙසේ හෝ දේශීය ISA ප්‍රොක්සියේ දෙපැත්තටම ඔතා ඇත. එය හරියටම ක්‍රියා කරන්නේ කෙසේද, මම ප්‍රතිනිෂ්පාදනය කර නැත.
2. මම යම් “DMZ” එකක සිටිමි (මෙය සක්‍රීය නාමාවලි වසමක් නොවේ, නමුත් WORKGROUP) - එය තාර්කිකයි. නමුත් අපේක්ෂිත පුද්ගලික ("අළු") IP ලිපිනය වෙනුවට, මා සතුව සම්පූර්ණයෙන්ම "සුදු" IP ලිපිනයක් ඇත, හරියටම මා කලින් පහර දුන් එකට සමානයි. මෙයින් අදහස් කරන්නේ සමාගම 4 සිට සිස්කෝ අත්පොත්වල දක්වා ඇති පරිදි යෝජනා ක්‍රමයට අනුව NAT නොමැතිව “සුදු” ලිපින 128 ක් සඳහා DMZ කලාපයක් පවත්වාගෙන යාමට හැකි වන පරිදි IPv2005 ආමන්ත්‍රණයේ ලෝකයේ ඉතා පැරණි බවයි.

සේවාදායකය පැරණි බැවින්, Mimikatz මතකයෙන් කෙලින්ම වැඩ කිරීමට සහතික වේ:

මම ප්‍රාදේශීය පරිපාලක මුරපදය ලබාගෙන, TCP හරහා උමං මාර්ග RDP ගමනාගමනය සහ සුවපහසු ඩෙස්ක්ටොප් එකකට ලොග් වෙමි. සේවාදායකය සමඟ මට අවශ්‍ය ඕනෑම දෙයක් කළ හැකි බැවින්, මම ප්‍රති-වයිරස ඉවත් කළ අතර, සේවාදායකයට අන්තර්ජාලයෙන් ප්‍රවේශ විය හැක්කේ TCP ports 80 සහ 443 හරහා පමණක් බවත්, 443 කාර්යබහුල නොවූ බවත් සොයාගත්තා. මම 443 හි OpenVPN සේවාදායකයක් පිහිටුවා, මගේ VPN ගමනාගමනය සඳහා NAT ශ්‍රිත එක් කර මගේ OpenVPN හරහා අසීමිත ආකාරයෙන් DMZ ජාලයට සෘජු ප්‍රවේශය ලබා ගන්නෙමි. ISA, සමහර ආබාධිත නොවන IPS ක්‍රියාකාරකම් සහිත, වරාය පරිලෝකනය සමඟ මගේ ගමනාගමනය අවහිර කළ අතර, ඒ සඳහා එය සරල සහ වඩාත් අනුකූල RRAS සමඟ ප්‍රතිස්ථාපනය කිරීමට සිදු විය. එබැවින් පෙන්ටෙස්ටර්වරුන්ට සමහර විට තවමත් සියලු ආකාරයේ දේවල් පරිපාලනය කිරීමට සිදු වේ.

අවධානයෙන් සිටින පාඨකයෙකු අසනු ඇත: "දෙවන වෙබ් අඩවිය ගැන කුමක් කිව හැකිද - NTLM සත්‍යාපනය සහිත විකියක්, ඒ ගැන බොහෝ දේ ලියා ඇත?" මේ ගැන වැඩි විස්තර පසුව.

2 කොටස. තවමත් සංකේතනය කරන්නේ නැද්ද? එහෙනම් අපි දැනටමත් ඔබ වෙත එනවා

එබැවින්, DMZ ජාල කොටස වෙත ප්රවේශය ඇත. ඔබ වසම් පරිපාලක වෙත යා යුතුය. මතකයට එන පළමු දෙය නම් DMZ කොටස තුළ සේවාවන්හි ආරක්ෂාව ස්වයංක්‍රීයව පරීක්ෂා කිරීමයි, විශේෂයෙන් ඒවායින් බොහොමයක් දැන් පර්යේෂණ සඳහා විවෘතව ඇති බැවින්. විනිවිද යාමේ පරීක්ෂණයකදී සාමාන්‍ය පින්තූරයක්: බාහිර පරිමිතිය අභ්‍යන්තර සේවාවන්ට වඩා හොඳින් ආරක්ෂා වී ඇති අතර විශාල යටිතල ව්‍යුහයක් තුළ ඕනෑම ප්‍රවේශයක් ලබා ගැනීමේදී, වසමක දීර්ග වූ අයිතිවාසිකම් ලබා ගැනීම වඩාත් පහසු වන්නේ මෙම වසම ආරම්භ වන බැවිනි. මෙවලම් වෙත ප්‍රවේශ විය හැකි අතර, දෙවනුව, සත්කාරක දහස් ගණනක් සහිත යටිතල ව්‍යුහයක් තුළ, සෑම විටම තීරණාත්මක ගැටළු කිහිපයක් ඇති වේ.

මම OpenVPN උමගක් හරහා DMZ හරහා ස්කෑනර් ආරෝපණය කර බලා සිටිමි. මම වාර්තාව විවෘත කරමි - නැවතත් බැරෑරුම් කිසිවක් නැත, පෙනෙන විදිහට යමෙකු මට පෙර එම ක්‍රමයම අනුගමනය කළේය. මීළඟ පියවර වන්නේ DMZ ජාලය තුළ ධාරක සන්නිවේදනය කරන ආකාරය පරීක්ෂා කිරීමයි. මෙය සිදු කිරීම සඳහා, පළමුව සුපුරුදු Wireshark දියත් කර විකාශන ඉල්ලීම් සඳහා සවන් දෙන්න, මූලික වශයෙන් ARP. දවස පුරා ARP පැකට් එකතු කරන ලදී. මෙම කොටසේ ද්වාර කිහිපයක් භාවිතා කරන බව පෙනේ. මෙය පසුව ප්රයෝජනවත් වනු ඇත. ARP ඉල්ලීම් සහ ප්‍රතිචාර සහ වරාය පරිලෝකන දත්ත පිළිබඳ දත්ත ඒකාබද්ධ කිරීමෙන්, වෙබ් සහ තැපෑල වැනි කලින් දැන සිටි සේවාවන්ට අමතරව දේශීය ජාලය තුළ සිට පරිශීලක ගමනාගමනයේ පිටවීමේ ස්ථාන මට හමු විය.

මේ මොහොතේ මට වෙනත් පද්ධති වෙත ප්‍රවේශයක් නොතිබූ අතර ආයතනික සේවාවන් සඳහා එක ගිණුමක් නොතිබූ බැවින්, ARP Spoofing භාවිතයෙන් අවම වශයෙන් යම් ගිණුමක් තදබදයෙන් ඉවත් කිරීමට තීරණය විය.

Cain&Abel urologistගේ සේවාදායකයේ දියත් කරන ලදී. හඳුනාගත් ගමනාගමන ප්‍රවාහයන් සැලකිල්ලට ගනිමින්, මිනිසා-ඉන්-මැද-මැදි ප්‍රහාරය සඳහා වඩාත්ම පොරොන්දු වූ යුගල තෝරා ගන්නා ලද අතර, පසුව සේවාදායකය නැවත ආරම්භ කිරීම සඳහා ටයිමරයක් සමඟ මිනිත්තු 5-10 ක් කෙටි කාලීන දියත් කිරීමකින් සමහර ජාල ගමනාගමනය ලැබුණි. ශීත කිරීමේ අවස්ථාවක. විහිළුවේ මෙන්, ප්‍රවෘත්ති දෙකක් තිබුණි:

1. හොඳයි: අක්තපත්‍ර ගොඩක් හසු වූ අතර සමස්තයක් ලෙස ප්‍රහාරය ක්‍රියාත්මක විය.
2. නරක: සියලුම අක්තපත්‍ර පාරිභෝගිකයාගේම ගනුදෙනුකරුවන්ගෙන් විය. උපකාරක සේවා සපයන අතරතුර, සෑම විටම ගමනාගමන සංකේතනය වින්‍යාස කර නොමැති සේවාදායකයින්ගේ සේවාවන්ට සම්බන්ධ පාරිභෝගික විශේෂඥයින්.

එහි ප්‍රතිඵලයක් වශයෙන්, මම ව්‍යාපෘතියේ සන්දර්භය තුළ නිෂ්ඵල වූ අක්තපත්‍ර රාශියක් ලබා ගත්තෙමි, නමුත් ප්‍රහාරයේ අන්තරාය විදහා දැක්වීමක් ලෙස නිසැකවම සිත්ගන්නා සුළුය. ටෙල්නෙට් සහිත විශාල සමාගම්වල මායිම් රවුටර, සියලු දත්ත සමඟ අභ්‍යන්තර CRM වෙත යොමු කරන ලද දෝශ නිරාකරණ http ports, දේශීය ජාලයේ Windows XP වෙතින් RDP වෙත සෘජු ප්‍රවේශය සහ වෙනත් අඳුරු භාවය. එය මෙසේ විය MITER matrix අනුව සැපයුම් දාම සම්මුතිය.

මටත් ට්‍රැෆික් එකෙන් ලියුම් එකතු කරන්න විහිලු අවස්ථාවක් හම්බුනා, මේ වගේ දෙයක්. මෙය නැවතත් සංකේතනයකින් තොරව අපගේ පාරිභෝගිකයාගෙන් ඔහුගේ සේවාලාභියාගේ SMTP වරාය වෙත ගිය සූදානම් කළ ලිපියක උදාහරණයකි. එක්තරා ඇන්ඩ්‍රි ඔහුගේ නමට ලියකියවිලි යවන ලෙස ඉල්ලා සිටින අතර, එය එක් ප්‍රතිචාර ලිපියක පිවිසුම, මුරපදය සහ සබැඳිය සහිත වලාකුළු තැටියකට උඩුගත කරනු ලැබේ:

මෙය සියලු සේවාවන් සංකේතනය කිරීමට තවත් මතක් කිරීමකි. ඔබේ දත්ත විශේෂයෙන් කියවා භාවිතා කරන්නේ කවුරුන්ද සහ කවදාද යන්න නොදනී - සැපයුම්කරු, වෙනත් සමාගමක පද්ධති පරිපාලක හෝ එවැනි පෙන්ටෙස්ටර්. බොහෝ දෙනෙකුට සංකේතනය නොකළ ගමනාගමනයට බාධා කළ හැකි බව මම නිහඬව සිටිමි.

පෙනෙන සාර්ථකත්වය තිබියදීත්, මෙය අපව ඉලක්කයට සමීප කළේ නැත. ඇත්ත වශයෙන්ම, දිගු වේලාවක් වාඩි වී වටිනා තොරතුරු සොයා ගැනීමට හැකි විය, නමුත් එය එහි දිස්වන බව සත්‍යයක් නොවන අතර ජාලයේ අඛණ්ඩතාව අනුව ප්‍රහාරයම ඉතා අවදානම් ය.

තවත් සේවාවක් හෑරීමෙන් පසු සිත්ගන්නා අදහසක් සිතට පැමිණියේය. Responder ලෙස හැඳින්වෙන එවැනි උපයෝගීතාවයක් ඇත (මෙම නම භාවිතා කිරීම සඳහා උදාහරණ සොයා ගැනීම පහසුය), එය "විෂ" විකාශන ඉල්ලීම් මගින්, SMB, HTTP, LDAP වැනි විවිධ ප්රොටෝකෝල හරහා සම්බන්ධතා අවුස්සයි. විවිධ ආකාරවලින්, පසුව සත්‍යාපනය කිරීමට සම්බන්ධ වන සෑම කෙනෙකුගෙන්ම ඉල්ලා එය NTLM හරහා සහ වින්දිතයාට විනිවිද පෙනෙන ආකාරයෙන් සත්‍යාපනය සිදු වන පරිදි එය සකසයි. බොහෝ විට, ප්‍රහාරකයෙකු මේ ආකාරයෙන් NetNTLMv2 හෑන්ඩ්ෂේක් එකතු කරන අතර ඒවායින්, ශබ්දකෝෂයක් භාවිතා කරමින්, පරිශීලක වසම් මුරපද ඉක්මනින් ප්‍රතිසාධනය කරයි. මෙන්න මට සමාන දෙයක් අවශ්‍ය විය, නමුත් පරිශීලකයින් “තාප්පයක් පිටුපස” වාඩි වී හෝ ඒ වෙනුවට, ඔවුන් ෆයර්වෝලයකින් වෙන් කර, බ්ලූ කෝට් ප්‍රොක්සි පොකුර හරහා වෙබ් අඩවියට ප්‍රවේශ විය.

මතක තබා ගන්න, ක්රියාකාරී නාමාවලි ඩොමේන් නාමය "බාහිර" වසම සමග සමපාත වූ බව මම සඳහන් කළෙමි, එනම්, එය company.ru? එබැවින්, වින්ඩෝස්, වඩාත් නිවැරදිව ඉන්ටර්නෙට් එක්ස්ප්ලෝරර් (සහ එජ් සහ ක්‍රෝම්), වෙබ් අඩවිය කිසියම් “අන්තර්ජාල කලාපයක” පිහිටා ඇති බව සලකන්නේ නම්, NTLM හරහා HTTP හි විනිවිදභාවයෙන් සත්‍යාපනය කිරීමට පරිශීලකයාට ඉඩ දෙයි. "අන්තර්ජාලයේ" එක් ලකුණක් වන්නේ "අළු" IP ලිපිනයකට හෝ කෙටි DNS නමකට, එනම් තිත් නොමැතිව ප්‍රවේශ වීමයි. ඔවුන් සතුව “සුදු” IP සහ DNS නාමයක් සහිත සේවාදායකයක් තිබූ බැවින් preobrazhensky.company.ru, සහ වසම් යන්ත්‍රවලට සාමාන්‍යයෙන් සරල කළ නාම ඇතුළත් කිරීම සඳහා DHCP හරහා Active Directory domain suffix ලැබෙන බැවින්, ඔවුන්ට URL එක ලිපින තීරුවේ ලිවීමට සිදු විය. preobrazhensky, එවිට ඔවුන් සම්මුතියට පත් මුත්‍රා වෛද්‍යවරයාගේ සේවාදායකයට නිවැරදි මාර්ගය සොයා ගනී, මෙය දැන් "අන්තර්ජාල" ලෙස හඳුන්වන බව අමතක නොකරයි. එනම්, ඒ සමඟම ඔහුගේ අනුදැනුමකින් තොරව පරිශීලකයාගේ NTLM-අත් දීම මට ලබා දීමයි. ඉතිරිව ඇත්තේ මෙම සේවාදායකය සම්බන්ධ කර ගැනීමේ හදිසි අවශ්‍යතාවය ගැන සිතා බැලීමට සේවාදායක බ්‍රව්සර්වලට බල කිරීම පමණි.

අපූරු Intercepter-NG උපයෝගීතාව ගලවා ගැනීමට පැමිණියේය (ස්තුතියි ඉන්ටර්සෙප්ටර්) එය ඔබට පියාසර ගමනාගමනය වෙනස් කිරීමට ඉඩ ලබා දුන් අතර Windows 2003 හි විශිෂ්ට ලෙස ක්‍රියා කළේය. ගමනාගමන ප්‍රවාහයේදී JavaScript ගොනු පමණක් වෙනස් කිරීම සඳහා වෙනම ක්‍රියාකාරීත්වයක් පවා තිබුණි. දැවැන්ත Cross-Site Scripting වර්ගයක් සැලසුම් කරන ලදී.

බ්ලූ කෝට් ප්‍රොක්සි, පරිශීලකයන් ගෝලීය වෙබ් වෙත ප්‍රවේශ වූ, කාලානුරූපී ස්ථිතික අන්තර්ගතයන් හැඹිලිගත කර ඇත. ගමනාගමනයට බාධා කිරීමෙන්, ඔවුන් පැය XNUMX පුරාම වැඩ කරන බව පැහැදිලි විය, උපරිම වේලාවන් තුළ අන්තර්ගත ප්‍රදර්ශනය වේගවත් කිරීම සඳහා නිතර භාවිතා කරන ස්ථිතික නිමක් නැතිව ඉල්ලා සිටියේය. ඊට අමතරව, BlueCoat හට නිශ්චිත පරිශීලක නියෝජිතයෙකු සිටි අතර, එය සැබෑ පරිශීලකයෙකුගෙන් පැහැදිලිව වෙන්කර හඳුනාගත හැකිය.

ජාවාස්ක්‍රිප්ට් සකස් කරන ලද අතර, ඉන්ටර්සෙප්ටර්-එන්ජී භාවිතයෙන්, බ්ලූ කෝට් සඳහා JS ගොනු සමඟ සෑම ප්‍රතිචාරයක් සඳහාම රාත්‍රියේ පැයක් ක්‍රියාත්මක කරන ලදී. ස්ක්‍රිප්ටය පහත සඳහන් දේ කළේය:

• පරිශීලක නියෝජිතයා විසින් වත්මන් බ්‍රවුසරය නිර්ණය කරන ලදී. එය Internet Explorer, Edge හෝ Chrome නම්, එය දිගටම වැඩ කළා.
• මම page එකේ DOM එක හැදෙනකම් හිටියා.
• පෝරමයේ src උපලක්ෂණයක් සහිත DOM වෙත නොපෙනෙන රූපයක් ඇතුළු කරන ලදී preobrazhensky:8080/NNNNNNN.png, NNN යනු අත්තනෝමතික සංඛ්‍යා වන නිසා BlueCoat එය හැඹිලිගත නොකරයි.
• එන්නත් කිරීම අවසන් වූ බව දැක්වීමට ගෝලීය ධජ විචල්‍යයක් සකසන්න සහ තවදුරටත් පින්තූර ඇතුළු කිරීමට අවශ්‍ය නැත.

බ්‍රවුසරය මෙම රූපය පූරණය කිරීමට උත්සාහ කළේය; සම්මුතියට පත් සේවාදායකයේ 8080 තොටේ, TCP උමගක් මගේ ලැප්ටොප් පරිගණකය වෙත එනතුරු බලා සිටියේය, එම ප්‍රතිචාරකයම ක්‍රියාත්මක වන අතර, බ්‍රවුසරයට NTLM හරහා ලොග් වීම අවශ්‍ය වේ.

ප්‍රතිචාර දැක්වීමේ ලඝු-සටහන් අනුව විනිශ්චය කිරීම, මිනිසුන් උදේ වැඩට පැමිණ, ඔවුන්ගේ සේවා ස්ථාන සක්‍රිය කළහ, පසුව සමූහ වශයෙන් සහ නොදැනුවත්වම යූත්‍රික වෛද්‍යවරයාගේ සේවාදායකයට පැමිණීමට පටන් ගත් අතර, NTLM අතට අත තැබීමට අමතක නොකරමින්. මුරපද ප්‍රතිසාධනය කිරීම සඳහා පැහැදිලිවම සාර්ථක ප්‍රහාරයක් සඳහා දෑත් සෙලවීම් දවස පුරා වැහි වැහැලා සහ පැහැදිලිවම රැස් කර ගත් ද්‍රව්‍ය. ප්‍රතිචාර දැක්වීමේ ලොග පෙනුනේ මෙයයි:

පරිශීලකයින් විසින් මුත්රා වෛද්‍ය සේවාදායකය වෙත විශාල රහසිගත චාරිකා

මෙම සම්පූර්ණ කතාව ගොඩනඟා ඇත්තේ "සියල්ල හොඳින් විය, නමුත් පසුව කරදරයක් විය, පසුව ජයග්‍රහණයක් ඇති විය, පසුව සියල්ල සාර්ථක විය" යන මූලධර්මය මත ගොඩනගා ඇති බව ඔබ දැනටමත් දැක ඇති. ඉතින් මෙතන විකාරයක් තිබුණා. අද්විතීය අතට අත දීම් පනහෙන් එකක්වත් හෙළි නොවීය. තවද මෙය සැලකිල්ලට ගනී, මිය ගිය ප්‍රොසෙසරයක් සහිත ලැප්ටොප් පරිගණකයක පවා, මෙම NTLMv2 හෑන්ඩ්ෂේක් තත්පරයකට මිලියන සිය ගණනක උත්සාහයක වේගයකින් සකසනු ලැබේ.

මුරපද විකෘති කිරීමේ ක්‍රම, වීඩියෝ කාඩ්පතක්, ඝන ශබ්ද කෝෂයකින් සන්නද්ධ වී බලා සිටීමට මට සිදු විය. දිගු කාලයකට පසු, “Q11111111....1111111q” පෝරමයේ මුරපද සහිත ගිණුම් කිහිපයක් අනාවරණය වූ අතර, එයින් ඇඟවෙන්නේ සියලුම පරිශීලකයින්ට වරෙක විවිධ අක්ෂර සහිත ඉතා දිගු මුරපදයක් ඉදිරිපත් කිරීමට බල කළ බවයි. සංකීර්ණ වේ. නමුත් ඔබට පළපුරුදු පරිශීලකයෙකු රවටා ගත නොහැකි අතර, ඔහු තමාට මතක තබා ගැනීම පහසු කළේ එලෙස ය. සමස්තයක් වශයෙන්, ගිණුම් 5 ක් පමණ අවදානමට ලක්ව ඇති අතර, ඔවුන්ගෙන් එක් අයෙකුට පමණක් සේවාවන් සඳහා වටිනා හිමිකම් තිබුණි.

3 කොටස. Roskomnadzor ආපසු පහර දෙයි

ඉතින්, පළමු වසම් ගිණුම් ලැබුණි. දිගු කියවීමකින් ඔබට මේ වන විට නින්ද ගොස් නොමැති නම්, සත්‍යාපනයේ දෙවන සාධකයක් අවශ්‍ය නොවන සේවාවක් ගැන මා සඳහන් කළ බව ඔබට මතක ඇති: එය NTLM සත්‍යාපනය සහිත විකියකි. ඇත්ත වශයෙන්ම, කළ යුතු පළමු දෙය එහි ඇතුල් වීමයි. අභ්‍යන්තර දැනුම් පදනම හාරා ඉක්මනින් ප්‍රතිඵල ගෙන ආවේය:

• සමාගමට දේශීය ජාලයට ප්‍රවේශය ඇති වසම් ගිණුම් භාවිතා කරමින් සත්‍යාපනය සහිත WiFi ජාලයක් ඇත. වත්මන් දත්ත කට්ටලය සමඟ, මෙය දැනටමත් වැඩ කරන ප්රහාරක දෛශිකයකි, නමුත් ඔබ ඔබේ පාද සමඟ කාර්යාලයට ගොස් පාරිභෝගිකයාගේ කාර්යාලයේ භූමියේ කොතැනක හෝ පිහිටා තිබිය යුතුය.
• පරිශීලකයා දේශීය ජාලයක් තුළ සිටී නම් සහ ඔහුගේ වසම් පිවිසුම සහ මුරපදය විශ්වාසයෙන් මතක තබා ගන්නේ නම් “දෙවන සාධකය” සත්‍යාපන උපාංගයක් ස්වාධීනව ලියාපදිංචි කිරීමට අවසර දෙන සේවාවක් ඇති උපදෙස් මට හමු විය. මෙම අවස්ථාවෙහිදී, "ඇතුළත" සහ "පිටත" තීරණය කරනු ලැබුවේ පරිශීලකයාට මෙම සේවාවේ වරායේ ප්රවේශයෙනි. වරාය අන්තර්ජාලයෙන් ප්‍රවේශ විය නොහැකි නමුත් DMZ හරහා ප්‍රවේශ විය හැකි විය.

ඇත්ත වශයෙන්ම, "දෙවන සාධකය" මගේ දුරකථනයේ යෙදුමක ස්වරූපයෙන් සම්මුතියට පත් ගිණුමට වහාම එකතු කරන ලදී. ක්‍රියාව සඳහා "අනුමත කරන්න"/"අනුමත කරන්න" බොත්තම් සමඟින් දුරකථනය වෙත තල්ලු ඉල්ලීමක් ශබ්ද නඟා එවිය හැකි හෝ වැඩිදුර ස්වාධීන ප්‍රවේශය සඳහා තිරය මත OTP කේතය නිහඬව පෙන්විය හැකි වැඩසටහනක් තිබුණි. එපමණක් නොව, පළමු ක්‍රමය එකම නිවැරදි ක්‍රමය විය යුතු යැයි උපකල්පනය කරන ලද නමුත් එය OTP ක්‍රමය මෙන් නොව ක්‍රියා කළේ නැත.

"දෙවන සාධකය" කැඩී යාමත් සමග, Citrix Netscaler Gateway හි Outlook වෙබ් ප්‍රවේශ තැපෑලට සහ දුරස්ථ ප්‍රවේශයට ප්‍රවේශ වීමට මට හැකි විය. Outlook හි තැපෑලෙහි පුදුමයක් තිබුණි:

මෙම දුර්ලභ වෙඩි තැබීමෙන් ඔබට Roskomnadzor පෙන්ටෙස්ටර්වරුන්ට උදව් කරන ආකාරය දැක ගත හැකිය

ටෙලිග්‍රාම් හි සුප්‍රසිද්ධ “ෆෑන්” අවහිර කිරීමෙන් පසු, ලිපින දහස් ගණනක් සහිත සම්පූර්ණ ජාල නොවැලැක්විය හැකි ලෙස ප්‍රවේශයෙන් අතුරුදහන් වූ පළමු මාස ​​මෙය විය. තල්ලුව වහාම ක්‍රියා නොකළේ මන්දැයි සහ මගේ "ගොදුර" එලාම් නාද නොකළේ මන්දැයි පැහැදිලි වූයේ ඔවුන් විවෘත වේලාවන්හිදී ඇගේ ගිණුම භාවිතා කිරීමට පටන් ගත් බැවිනි.

Citrix Netscaler ගැන දන්නා ඕනෑම අයෙකු සිතන්නේ එය සාමාන්‍යයෙන් ක්‍රියාත්මක වන්නේ පරිශීලකයාට පින්තූර අතුරුමුහුණතක් පමණක් ලබා දිය හැකි ආකාරයට බවත්, තෙවන පාර්ශවීය යෙදුම් දියත් කිරීමට සහ දත්ත මාරු කිරීමට මෙවලම් ඔහුට ලබා නොදීමට උත්සාහ කරන බවත්, හැකි සෑම ආකාරයකින්ම ක්‍රියාවන් සීමා කරන බවත්ය. සම්මත පාලන කවච හරහා. මගේ “ගොදුරට” ඔහුගේ රැකියාව නිසා ලැබුණේ 1C පමණි:

1C අතුරුමුහුණත ටිකක් ඇවිදීමෙන් පසු, එහි බාහිර සැකසුම් මොඩියුල ඇති බව මට පෙනී ගියේය. ඒවා අතුරු මුහුණතෙන් පූරණය කළ හැකි අතර, අයිතිවාසිකම් සහ සැකසුම් මත පදනම්ව, සේවාලාභියා හෝ සේවාදායකය මත ඒවා ක්රියාත්මක කරනු ලැබේ.

මම මගේ 1C ක්‍රමලේඛක මිතුරන්ගෙන් ඉල්ලා සිටියේ තන්තුවක් පිළිගෙන එය ක්‍රියාත්මක කරන සැකසුම් නිර්මාණය කරන ලෙසයි. 1C භාෂාවෙන්, ක්‍රියාවලියක් ආරම්භ කිරීම මේ වගේ දෙයක් (අන්තර්ජාලයෙන් උපුටා ගන්නා ලදී). 1C භාෂාවේ වාක්‍ය ඛණ්ඩය එහි ස්වයංසිද්ධතාවයෙන් රුසියානු භාෂාව කතා කරන මිනිසුන් මවිතයට පත් කරන බව ඔබ එකඟද?

සැකසීම පරිපූර්ණ ලෙස සිදු කරන ලදී; එය පෙන්ටෙස්ටර්වරුන් "ෂෙල්" ලෙස හඳුන්වන දෙය බවට පත් විය - ඉන්ටර්නෙට් එක්ස්ප්ලෝරර් එය හරහා දියත් කරන ලදී.

මීට පෙර, ඔබට භූමියට අවසර පත් ඇණවුම් කිරීමට ඉඩ සලසන පද්ධතියක ලිපිනය තැපෑලෙන් සොයා ගන්නා ලදී. මට WiFi ප්‍රහාරක දෛශිකයක් භාවිතා කිරීමට සිදුවුවහොත් මම අවසර පත්‍රයක් ඇණවුම් කළෙමි.

පාරිභෝගිකයාගේ කාර්යාලයේ රසවත් නොමිලේ ආහාර සැපයීම තවමත් පවතින බවට අන්තර්ජාලයේ කතාබහක් ඇත, නමුත් මම තවමත් ප්‍රහාරය දුරස්ථව සංවර්ධනය කිරීමට කැමැත්තෙමි, එය සන්සුන් ය.

AppLocker Citrix ධාවනය වන යෙදුම් සේවාදායකයේ සක්‍රිය කර ඇත, නමුත් එය මඟ හැර ඇත. http(s) අනුවාද වලට සම්බන්ධ වීමට අවශ්‍ය නැති නිසාත්, මම ඒ වන විට අභ්‍යන්තර ප්‍රොක්සි ලිපිනය නොදැන සිටි නිසාත්, DNS හරහා එම Meterpreter පූරණය කර දියත් කරන ලදී. මාර්ගය වන විට, මේ මොහොතේ සිට, බාහිර pentest අවශ්යයෙන්ම සම්පූර්ණයෙන්ම අභ්යන්තර එකක් බවට පත් විය.

4 කොටස. පරිශීලකයන් සඳහා පරිපාලක අයිතිවාසිකම් නරකයි, හරිද?

වසම් පරිශීලක සැසියක් පාලනය කිරීමේදී පෙන්ටෙස්ටර්ගේ පළමු කාර්යය වන්නේ වසමේ අයිතිවාසිකම් පිළිබඳ සියලු තොරතුරු රැස් කිරීමයි. වසම් පාලකයකින් LDAP ප්‍රොටෝකෝලය හරහා සහ SMB හරහා පරිශීලකයින්, පරිගණක, ආරක්ෂක කණ්ඩායම් පිළිබඳ තොරතුරු ස්වයංක්‍රීයව බාගත කිරීමට ඔබට ඉඩ සලසන BloodHound උපයෝගීතාවයක් ඇත - පරිශීලකයා මෑතකදී ලොග් වූ ස්ථානය සහ ප්‍රාදේශීය පරිපාලක කවුද යන්න පිළිබඳ තොරතුරු.

වසම් පරිපාලක අයිතිවාසිකම් අත්පත් කර ගැනීමේ සාමාන්‍ය තාක්‍ෂණයක් ඒකාකාරී ක්‍රියා චක්‍රයක් ලෙස සරල කර ඇත:

• අපි දැනටමත් අල්ලා ගත් වසම් ගිණුම් මත පදනම්ව, ප්‍රාදේශීය පරිපාලක අයිතිවාසිකම් ඇති වසම් පරිගණක වෙත යන්නෙමු.
• අපි Mimikatz දියත් කර හැඹිලිගත මුරපද, Kerberos ටිකට්පත් සහ මෑතකදී මෙම පද්ධතියට ඇතුළු වූ වසම් ගිණුම් වල NTLM හැෂ් ලබා ගනිමු. නැත්තම් lsass.exe process එකේ memory image එක අයින් කරලා අපේ පැත්තෙත් එහෙම කරනවා. මෙය පෙරනිමි සැකසුම් සහිත 2012R2/Windows 8.1 ට වඩා බාල Windows සමඟ හොඳින් ක්‍රියා කරයි.
• සම්මුතියට පත් ගිණුම්වලට ප්‍රාදේශීය පරිපාලක අයිතිවාසිකම් ඇත්තේ කොතැනද යන්න අපි තීරණය කරමු. අපි පළමු කරුණ නැවත නැවතත්. යම් අවස්ථාවක දී අපි සම්පූර්ණ වසම සඳහා පරිපාලක අයිතිවාසිකම් ලබා ගනිමු.

1C ක්‍රමලේඛකයින් මෙහි ලියන පරිදි “චක්‍රයේ අවසානය;”.

එබැවින්, අපගේ පරිශීලකයා Windows 7 සමඟ එක් සත්කාරක සමාගමක දේශීය පරිපාලකයෙකු බවට පත් විය, එහි නමට "VDI", හෝ "Virtual Desktop Infrastructure" යන වචනය ඇතුළත් විය, පුද්ගලික අතථ්‍ය යන්ත්‍ර. බොහෝ විට, VDI සේවාවේ නිර්මාණකරු අදහස් කළේ VDI යනු පරිශීලකයාගේ පුද්ගලික මෙහෙයුම් පද්ධතිය වන බැවින්, පරිශීලකයා කැමති පරිදි මෘදුකාංග පරිසරය වෙනස් කළද, ධාරකය තවමත් "නැවත පූරණය" කළ හැකි බවයි. පොදුවේ ගත් කල, අදහස හොඳ යැයි මම සිතුවෙමි, මම මෙම පුද්ගලික VDI සත්කාරකයට ගොස් එහි කූඩුවක් සෑදුවෙමි:

• මම එහි OpenVPN සේවාලාභියෙකු ස්ථාපනය කළෙමි, එය මගේ සේවාදායකයට අන්තර්ජාලය හරහා උමගක් සාදන ලදී. වසම් සත්‍යාපනය සමඟ එකම නිල් කබාය හරහා යාමට සේවාදායකයාට බල කිරීමට සිදු විය, නමුත් OpenVPN එය කළේ ඔවුන් පවසන පරිදි “පෙට්ටියෙන් පිටත” ය.
• VDI මත OpenSSH ස්ථාපනය කර ඇත. හොඳයි, ඇත්ත වශයෙන්ම, SSH නොමැතිව වින්ඩෝස් 7 යනු කුමක්ද?

සජීවීව පෙනුනේ මෙයයි. මේ සියල්ල Citrix සහ 1C හරහා කළ යුතු බව මම ඔබට මතක් කරමි.

අසල්වැසි පරිගණක වෙත ප්‍රවේශය ප්‍රවර්ධනය කිරීමේ එක් ක්‍රමවේදයක් වන්නේ ගැලපීමක් සඳහා ප්‍රාදේශීය පරිපාලක මුරපද පරීක්ෂා කිරීමයි. මෙහිදී වාසනාව වහාම බලා සිටියේය: පෙරනිමි ප්‍රාදේශීය පරිපාලකගේ NTLM හැෂ් (හදිසියේ පරිපාලක ලෙස හැඳින්වූ) අසල්වැසි VDI සත්කාරක වෙත ප්‍රහාරයක් හරහා ප්‍රවේශ විය, එයින් සිය ගණනක් සිටි. ඇත්ත වශයෙන්ම, ප්රහාරය වහාම ඔවුන්ට පහර දුන්නේය.

VDI පරිපාලකයින් පාදයට දෙවරක් වෙඩි තබා ගත්තේ මෙහිදීය:

• පළමු වතාවට VDI යන්ත්‍ර LAPS යටතට ගෙන නොගිය විට, අත්‍යවශ්‍යයෙන්ම VDI වෙත විශාල වශයෙන් යොදවා ඇති රූපයෙන් එකම දේශීය පරිපාලක මුරපදය රඳවා තබා ගැනීමයි.
• පෙරනිමි පරිපාලක යනු හැෂ් ප්‍රහාරවලට ගොදුරු විය හැකි එකම දේශීය ගිණුමයි. එකම මුරපදය සමඟ වුවද, සංකීර්ණ අහඹු මුරපදයක් සහිත දෙවන ප්‍රාදේශීය පරිපාලක ගිණුමක් සාදා පෙරනිමි එක අවහිර කිරීමෙන් විශාල සම්මුතියක් වළක්වා ගත හැකිය.

එම වින්ඩෝස් හි SSH සේවාව ඇයි? ඉතා සරලයි: දැන් OpenSSH සේවාදායකය පරිශීලකයාගේ කාර්යයට බාධා නොකර පහසු අන්තර්ක්‍රියාකාරී විධාන කවචයක් පමණක් නොව VDI හි socks5 ප්‍රොක්සියක් ද ලබා දී ඇත. මෙම මේස් හරහා, මම SMB හරහා සම්බන්ධ වී මෙම VDI යන්ත්‍ර සිය ගණනකින් හැඹිලිගත ගිණුම් එකතු කර, පසුව BloodHound ප්‍රස්ථාරවල ඒවා භාවිතා කරමින් වසම් පරිපාලක වෙත යන මාර්ගය සෙව්වෙමි. මා සතුව ඇති සත්කාරකයින් සිය ගණනක් සමඟ, මම ඉතා ඉක්මනින් මෙම මාර්ගය සොයා ගතිමි. වසම් පරිපාලක අයිතිවාසිකම් ලබාගෙන ඇත.

මෙන්න අන්තර්ජාලයෙන් සමාන සෙවුමක් පෙන්වන පින්තූරයක්. පරිපාලකයා සිටින්නේ කවුද සහ කොතැනක ලොග් වී සිටින්නේ කවුද යන්න සම්බන්ධතා පෙන්වයි.

මාර්ගය වන විට, ව්යාපෘතියේ ආරම්භයේ සිට කොන්දේසිය මතක තබා ගන්න - "සමාජ ඉංජිනේරු විද්යාව භාවිතා නොකරන්න." ඉතින්, තවමත් banal phishing භාවිතා කිරීමට හැකි නම්, විශේෂ ප්‍රයෝග සහිත මේ බොලිවුඩය කොපමණ ප්‍රමාණයක් කපා හැරේදැයි සිතා බැලීමට මම යෝජනා කරමි. නමුත් පෞද්ගලිකව මට මේ සියල්ල කිරීම ඉතා සිත්ගන්නා සුළු විය. ඔබ මෙය කියවීමෙන් සතුටක් ලැබුවා යැයි සිතමි. ඇත්ත වශයෙන්ම, සෑම ව්යාපෘතියක්ම එතරම් කුතුහලය දනවන බවක් නොපෙනේ, නමුත් සමස්තයක් ලෙස කාර්යය ඉතා අභියෝගාත්මක වන අතර එය එකතැන පල්වීමට ඉඩ නොදේ.

සමහර විට යමෙකුට ප්‍රශ්නයක් ඇති වනු ඇත: ඔබව ආරක්ෂා කර ගන්නේ කෙසේද? මෙම ලිපිය පවා බොහෝ ශිල්පීය ක්‍රම විස්තර කරයි, ඒවායින් බොහොමයක් වින්ඩෝස් පරිපාලකයින් පවා නොදනී. කෙසේ වෙතත්, හැක්නීඩ් මූලධර්ම සහ තොරතුරු ආරක්ෂණ පියවරයන්ගෙන් ඒවා දෙස බැලීමට මම යෝජනා කරමි:

• යල් පැන ගිය මෘදුකාංග භාවිතා නොකරන්න (මුලදී Windows 2003 මතකද?)
• අනවශ්‍ය පද්ධති ක්‍රියාත්මක නොකරන්න (මූත්‍ර වෛද්‍යවරයකුගේ වෙබ් අඩවියක් තිබුණේ ඇයි?)
• ශක්තිය සඳහා පරිශීලක මුරපද ඔබම පරීක්ෂා කරන්න (එසේ නොමැතිනම් සොල්දාදුවන් ... පෙන්ටෙස්ටර්වරුන් මෙය කරනු ඇත)
• විවිධ ගිණුම් සඳහා එකම මුරපද නොමැත (VDI සම්මුතිය)
• හා වෙනත්

ඇත්ත වශයෙන්ම, මෙය ක්රියාත්මක කිරීම ඉතා අපහසු වේ, නමුත් ඊළඟ ලිපියෙන් අපි එය බෙහෙවින් හැකි බව ප්රායෝගිකව පෙන්වනු ඇත.

මූලාශ්රය: www.habr.com