ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > Tom Hunter's Diary: "The Hound of the Baskervilles"

Tom Hunter's Diary: "The Hound of the Baskervilles"

ඕනෑම විශාල සමාගමකට අත්සන් කිරීම ප්‍රමාද වීම සාමාන්‍ය දෙයකි. ටොම් හන්ටර් සහ එක් දාම සුරතල් ගබඩාවක් අතර දැඩි ලෙස පෙන්ටෙස්ට් කිරීම සඳහා වූ ගිවිසුම ව්‍යතිරේකයක් නොවීය. අපට වෙබ් අඩවිය, අභ්‍යන්තර ජාලය සහ වැඩ කරන Wi-Fi පවා පරීක්ෂා කිරීමට සිදු විය.

සියලු විධිවිධාන සමනය වීමටත් පෙර මගේ දෑත් කැසීම පුදුමයක් නොවේ. හොඳයි, වෙබ් අඩවිය පරිලෝකනය කරන්න, "The Hound of the Baskervilles" වැනි සුප්‍රසිද්ධ වෙළඳසැලක් මෙහි වැරදි සිදු කරනු ඇතැයි සිතිය නොහැක. දින කිහිපයකට පසු, ටොම්ට අවසානයේ අත්සන් කරන ලද මුල් කොන්ත්‍රාත්තුව ලබා දෙන ලදී - මේ අවස්ථාවේදී, තුන්වන කෝපි කෝප්පය හරහා, අභ්‍යන්තර CMS හි ටොම් ගබඩාවල තත්ත්වය උනන්දුවෙන් තක්සේරු කළේය.

Tom Hunter's Diary: "The Hound of the Baskervilles"මූලාශ්රය: Ehsan Taeblo

නමුත් CMS හි බොහෝ දේ කළමනාකරණය කිරීමට නොහැකි විය - අඩවි පරිපාලකයින් ටොම් හන්ටර්ගේ IP තහනම් කළේය. ගබඩා කාඩ්පත මත බෝනස් උත්පාදනය කිරීමට සහ මාස ගණනාවක් ඔබේ ආදරණීය බළලාට ලාභදායි ආහාර ලබා දීමට කාලය තිබිය හැකි වුවද ... "මේ වතාවේ නොවේ, ඩාර්ත් සිඩියස්," ටොම් සිනහවකින් සිතුවේය. වෙබ් අඩවියේ ප්‍රදේශයේ සිට පාරිභෝගිකයාගේ දේශීය ජාලයට යාම එතරම් සිත්ගන්නා සුළු නොවනු ඇත, නමුත් පෙනෙන විදිහට මෙම කොටස් සේවාදායකයා සඳහා සම්බන්ධ නොවේ. කෙසේ වෙතත්, මෙය ඉතා විශාල සමාගම්වල බොහෝ විට සිදු වේ.

සියලු විධිවිධාන වලින් පසුව, ටොම් හන්ටර් සපයා ඇති VPN ගිණුමෙන් සන්නද්ධ වී පාරිභෝගිකයාගේ දේශීය ජාලයට ගියේය. ගිණුම ක්‍රියාකාරී නාමාවලි වසම තුළ තිබූ බැවින්, විශේෂ උපක්‍රම නොමැතිව AD ඩම්ප් කිරීමට හැකි විය - පරිශීලකයන් සහ ක්‍රියාකරන යන්ත්‍ර පිළිබඳ ප්‍රසිද්ධියේ ලබා ගත හැකි සියලු තොරතුරු ඉවත් කිරීම.

ටොම් විසින් adfind උපයෝගීතාව දියත් කළ අතර වසම් පාලකය වෙත LDAP ඉල්ලීම් යැවීමට පටන් ගත්තේය. වස්තු කාණ්ඩ පන්තියේ පෙරහනක් සමඟ, පුද්ගලයා ගුණාංගයක් ලෙස සඳහන් කරයි. ප්‍රතිචාරය පහත ව්‍යුහය සමඟ නැවත පැමිණියේය:

dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0Z

මීට අමතරව, බොහෝ ප්රයෝජනවත් තොරතුරු තිබුනා, නමුත් වඩාත්ම සිත්ගන්නා කරුණ වූයේ >description: >description ක්ෂේත්‍රයයි. මෙය ගිණුමක් පිළිබඳ අදහස් දැක්වීමකි - මූලික වශයෙන් සුළු සටහන් තබා ගැනීමට පහසු ස්ථානයකි. නමුත් සේවාදායකයාගේ පරිපාලකයින් තීරණය කළේ මුරපද ද නිහඬව වාඩි විය හැකි බවයි. මේ සියලු නොවැදගත් නිල වාර්තා ගැන උනන්දු විය හැක්කේ කාටද? එබැවින් ටොම්ට ලැබුණු අදහස් වූයේ:

Создал Администратор, 2018.11.16 7po!*Vqn

අවසානයේ ඇති සංයෝජනය ප්‍රයෝජනවත් වන්නේ මන්දැයි තේරුම් ගැනීමට ඔබ රොකට් විද්‍යාඥයෙකු වීමට අවශ්‍ය නැත. ඉතිරිව තිබුණේ >විස්තර ක්ෂේත්‍රය භාවිතයෙන් සංයුක්ත තැටියෙන් විශාල ප්‍රතිචාර ගොනුව විග්‍රහ කිරීම පමණි: සහ මෙහි ඒවා - පිවිසුම්-මුරපද යුගල 20කි. එපමණක් නොව, අඩකට ආසන්න පිරිසකට RDP ප්‍රවේශ හිමිකම් ඇත. නරක පාලමක් නොවේ, ප්රහාරක බලවේග බෙදීමට කාලයයි.

ජාල

ප්‍රවේශ විය හැකි හවුන්ඩ්ස් ඔෆ් ද බාස්කර්විල් බෝල විශාල නගරයක් එහි සියලු අවුල් සහගත සහ අනපේක්ෂිත බව සිහිගන්වයි. පරිශීලක සහ RDP පැතිකඩ සමඟින්, ටොම් හන්ටර් මෙම නගරයේ බිඳුණු පිරිමි ළමයෙකු වූ නමුත් ආරක්ෂක ප්‍රතිපත්තිවල දිලිසෙන කවුළු හරහා බොහෝ දේ දැකීමට ඔහු සමත් විය.

ගොනු සේවාදායකයන්ගේ කොටස්, ගිණුම්කරණ ගිණුම් සහ ඒවාට සම්බන්ධ ස්ක්‍රිප්ට් පවා ප්‍රසිද්ධියට පත් කරන ලදී. මෙම ස්ක්‍රිප්ට් එකක සැකසුම් තුළ, ටොම් එක් පරිශීලකයෙකුගේ MS SQL හැෂ් සොයා ගත්තේය. කුඩා තිරිසන් බලවේග මැජික් - සහ පරිශීලකයාගේ හැෂ් සරල පෙළ මුරපදයක් බවට පත් විය. John The Ripper සහ Hashcat ට ස්තුතියි.

Tom Hunter's Diary: "The Hound of the Baskervilles"

මෙම යතුර පපුවට සුදුසු විය යුතුය. පපුව හමු වූ අතර, ඊටත් වඩා, තවත් "පපුව" දහයක් ඒ හා සම්බන්ධ විය. සහ හය ඇතුලේ ගිහි... superuser rights, nt authority system! ඒවායින් දෙකක් මත අපට xp_cmdshell ගබඩා කර ඇති ක්‍රියා පටිපාටිය ක්‍රියාත්මක කිරීමට සහ Windows වෙත cmd විධාන යැවීමට හැකි විය. ඔබට තවත් අවශ්‍ය වන්නේ කුමක්ද?

වසම් පාලකයන්

ටොම් හන්ටර් වසම් පාලක සඳහා දෙවන පහර සූදානම් කළේය. භූගෝලීය දුරස්ථ සේවාදායකයන් ගණනට අනුකූලව "Baskervilles හි බල්ලන්" ජාලයේ ඔවුන්ගෙන් තිදෙනෙක් සිටියහ. සෑම වසම් පාලකයකටම පොදු ෆෝල්ඩරයක් ඇත, වෙළඳසැලක විවෘත සංදර්ශක පෙට්ටියක් වැනි, එම දුප්පත් පිරිමි ළමයා ටොම් එල්ලී සිටින අසල.

මේ වතාවේ මිනිහා නැවතත් වාසනාවන්ත විය - ඔවුන්ට දේශීය සේවාදායක පරිපාලක මුරපදය දෘඪ කේත කර ඇති සංදර්ශක නඩුවෙන් ස්ක්‍රිප්ට් ඉවත් කිරීමට ඔවුන්ට අමතක විය. එබැවින් වසම් පාලකය වෙත මාර්ගය විවෘත විය. ඇතුලට එන්න, ටොම්!

මෙන්න මැජික් තොප්පිය ඇදගෙන ගියා mimikatz, වසම් පරිපාලකයින් කිහිප දෙනෙකුගෙන් ලාභ ලැබූ. ටොම් හන්ටර් දේශීය ජාලයේ සියලුම යන්ත්‍ර වෙත ප්‍රවේශය ලබා ගත් අතර යක්ෂ සිනහව ඊළඟ පුටුවේ සිට බළලාට බිය විය. මෙම මාර්ගය බලාපොරොත්තු වූවාට වඩා කෙටි විය.

සදාකාල නිල්

WannaCry සහ Petya ගේ මතකය තවමත් පෙන්ටෙස්ටර් වරුන්ගේ සිත්වල ජීවමානයි, නමුත් සමහර පරිපාලකයින්ට වෙනත් සන්ධ්‍යා ප්‍රවෘත්ති ප්‍රවාහයේදී ransomware ගැන අමතක වී ඇති බව පෙනේ. ටොම් විසින් SMB ප්‍රොටෝකෝලය තුළ අවදානමක් ඇති නෝඩ් තුනක් සොයා ගන්නා ලදී - CVE-2017-0144 හෝ EternalBlue. WannaCry සහ Petya ransomware බෙදා හැරීමට භාවිතා කරන ලද අවදානම මෙයයි, එය ධාරකයක් මත හිතුවක්කාර කේතය ක්‍රියාත්මක කිරීමට ඉඩ සලසන අවදානමකි. අවදානමට ලක්විය හැකි නෝඩ් එකක වසම් පරිපාලක සැසියක් තිබුණි - "සූරාකෑම සහ එය ලබා ගන්න." ඔබට කුමක් කළ හැකිද, කාලය සෑම කෙනෙකුටම උගන්වා නැත.

Tom Hunter's Diary: "The Hound of the Baskervilles"

"බැස්ටර්විල්ගේ බල්ලා"

තොරතුරු ආරක්ෂාව පිළිබඳ සම්භාව්‍යයන් ඕනෑම පද්ධතියක දුර්වලම ස්ථානය පුද්ගලයා බව පුනරුච්චාරණය කිරීමට කැමතියි. ඉහත සිරස්තල වෙළඳසැලේ නමට නොගැලපෙන බව සලකන්න? සමහර විට හැමෝම එතරම් අවධානයෙන් නොසිටිනු ඇත.

phishing blockbusters හි හොඳම සම්ප්‍රදායන් තුළ, Tom Hunter "Hounds of the Baskervilles" වසමෙන් එක අකුරකින් වෙනස් වන වසමක් ලියාපදිංචි කළේය. මෙම වසමේ ඇති තැපැල් ලිපිනය ගබඩාවේ තොරතුරු ආරක්ෂණ සේවාවේ ලිපිනය අනුකරණය කර ඇත. 4:16 සිට 00:17 දක්වා දින 00ක් පුරා, පහත ලිපිය ව්‍යාජ ලිපිනයකින් ලිපින 360කට ඒකාකාරව යවන ලදී:

Tom Hunter's Diary: "The Hound of the Baskervilles"

සමහර විට, මුරපද විශාල වශයෙන් කාන්දු වීමෙන් සේවකයින් බේරා ගත්තේ ඔවුන්ගේම කම්මැලිකම පමණි. ලිපි 360 න් 61 ක් පමණක් විවෘත කර ඇත - ආරක්ෂක සේවාව එතරම් ජනප්රිය නොවේ. නමුත් පසුව එය පහසු විය.

Tom Hunter's Diary: "The Hound of the Baskervilles"
තතුබෑම් පිටුව

පුද්ගලයින් 46 දෙනෙකු සබැඳිය ක්ලික් කළ අතර අඩකට ආසන්න - සේවකයින් 21 ක් - ලිපින තීරුව දෙස නොබලා සන්සුන්ව ඔවුන්ගේ පිවිසුම් සහ මුරපද ඇතුළත් කළහ. ලස්සන අල්ලා, ටොම්.

Tom Hunter's Diary: "The Hound of the Baskervilles"

wifi ජාලය

දැන් පූසාගේ උදව්ව ගණන් ගන්න ඕන කමක් තිබුණේ නැහැ. ටොම් හන්ටර් තම පැරණි සෙඩාන් රථයට යකඩ කැබලි කිහිපයක් විසි කර බාස්කර්විල්ස් හි දඩයම්කරුගේ කාර්යාලයට ගියේය. ඔහුගේ සංචාරයට එකඟ නොවීය: ටොම් පාරිභෝගිකයාගේ Wi-Fi පරීක්ෂා කිරීමට යමින් සිටියේය. ව්‍යාපාරික මධ්‍යස්ථානයේ වාහන නැවැත්වීමේ ස්ථානයේ ඉලක්ක ජාලයේ පරිමිතියට පහසුවෙන් ඇතුළත් කර ඇති නිදහස් අවකාශයන් කිහිපයක් තිබුණි. පෙනෙන විදිහට, ඔවුන් එහි සීමාව ගැන එතරම් සිතුවේ නැත - දුර්වල Wi-Fi පිළිබඳ ඕනෑම පැමිණිල්ලකට ප්‍රතිචාර වශයෙන් පරිපාලකයින් අහඹු ලෙස අමතර ලකුණු ලබා දෙනවාක් මෙන්.

WPA/WPA2 PSK ආරක්ෂාව ක්‍රියා කරන්නේ කෙසේද? ප්‍රවේශ ලක්ෂ්‍යය සහ සේවාලාභීන් අතර සංකේතනය පූර්ව සැසි යතුරක් මඟින් සපයනු ලැබේ - Pairwise Transient Key (PTK). PTK පෙර-බෙදාගත් යතුර සහ වෙනත් පරාමිති පහක් භාවිතා කරයි - SSID, Authenticator Nounce (announce), Supplicant Nounce (SNounce), ප්‍රවේශ ලක්ෂ්‍යය සහ සේවාදායක MAC ලිපින. ටොම් පරාමිති පහම බාධා කළ අතර දැන් අස්ථානගත වී ඇත්තේ පෙර-බෙදාගත් යතුර පමණි.

Tom Hunter's Diary: "The Hound of the Baskervilles"

Hashcat උපයෝගීතාව මෙම නැතිවූ සබැඳිය මිනිත්තු 50 කින් පමණ බාගත කර ඇත - සහ අපගේ වීරයා අමුත්තන්ගේ ජාලය තුළ අවසන් විය. එයින් ඔබට දැනටමත් වැඩ කරන එක දැකිය හැකිය - අමුතු තරම්, මෙන්න ටොම් විනාඩි නවයකින් මුරපදය කළමනාකරණය කළේය. තවද මේ සියල්ල වාහන නැවැත්වීමේ ස්ථානයෙන් ඉවත් නොවී, කිසිදු VPN නොමැතිව. වැඩ කරන ජාලය අපගේ වීරයා සඳහා බිහිසුණු ක්‍රියාකාරකම් සඳහා අවකාශය විවෘත කළේය, නමුත් ඔහු කිසි විටෙකත් ගබඩා කාඩ්පතට ප්‍රසාද දීමනා එකතු කළේ නැත.

ටොම් නැවතී, ඔහුගේ ඔරලෝසුව දෙස බලා, මුදල් නෝට්ටු කිහිපයක් මේසය මතට විසි කර, සමුගෙන, කැෆේ එකෙන් පිටව ගියේය. සමහර විට එය නැවතත් pentest විය හැකිය, නැතහොත් සමහර විට එය ඇත විදුලි පණිවුඩ නාලිකාව ලියන්න හිතුනා...


මූලාශ්රය: www.habr.com

අදහස් එක් කරන්න