Zamude pri podpisu so običajne za vsako veliko podjetje. Dogovor med Tomom Hunterjem in eno verigo trgovin za male živali za temeljito pentestiranje ni bil izjema. Preveriti smo morali spletno stran, interno omrežje in celo delujoč Wi-Fi.
Ni presenetljivo, da so me roke srbele še preden so bile vse formalnosti urejene. No, samo skenirajte spletno mesto za vsak slučaj, malo verjetno je, da bi tako znana trgovina, kot je "Baskervilski pes", tukaj delala napake. Čez nekaj dni so Tomu končno izročili podpisano originalno pogodbo - v tem času je ob tretji skodelici kave Tom iz internega CMS z zanimanjem ocenil stanje v skladiščih ...
Vir:
Toda v CMS ni bilo mogoče veliko upravljati - skrbniki spletnega mesta so prepovedali IP Toma Hunterja. Čeprav bi bilo mogoče imeti čas za ustvarjanje bonusov na kartici trgovine in poceni hraniti vašo ljubljeno mačko več mesecev ... »Ne tokrat, Darth Sidious,« je pomislil Tom z nasmehom. Nič manj zanimivo bi bilo iti s spletnega mesta na naročnikovo lokalno omrežje, vendar očitno ti segmenti za naročnika niso povezani. Vendar se to pogosteje dogaja v zelo velikih podjetjih.
Po vseh formalnostih se je Tom Hunter oborožil s priloženim računom VPN in odšel v lokalno omrežje stranke. Račun je bil znotraj domene Active Directory, tako da je bilo možno odložiti AD brez posebnih trikov - črpanje vseh javno dostopnih informacij o uporabnikih in delovnih strojih.
Tom je zagnal pripomoček adfind in začel pošiljati zahteve LDAP krmilniku domene. S filtrom v razredu objectСategory, ki kot atribut navede person. Odgovor je prišel z naslednjo strukturo:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZPoleg tega je bilo veliko koristnih informacij, najbolj zanimivo pa je bilo v polju >opis: >opis. To je komentar na račun - v bistvu priročno mesto za shranjevanje manjših zapiskov. Toda skrbniki stranke so se odločili, da lahko gesla tam tudi mirno sedijo. Koga bi sploh lahko zanimali vsi ti nepomembni uradni zapisi? Tako je Tom prejel naslednje komentarje:
Создал Администратор, 2018.11.16 7po!*VqnNi vam treba biti raketni znanstvenik, da bi razumeli, zakaj je kombinacija na koncu uporabna. Vse kar je ostalo je bilo razčleniti veliko odzivno datoteko s CD-ja z uporabo polja >description: in tukaj so - 20 parov prijava-geslo. Poleg tega jih ima skoraj polovica pravice dostopa do RDP. Ni slabo mostišče, čas je za razdelitev napadalnih sil.
omrežje
Dostopni Hounds of the Baskerville balls so spominjali na veliko mesto v vsem svojem kaosu in nepredvidljivosti. Z uporabniškimi profili in profili RDP je bil Tom Hunter brez denarja v tem mestu, vendar je tudi njemu uspelo marsikaj videti skozi bleščeča okna varnostne politike.
Deli datotečnih strežnikov, računovodski računi in celo skripti, povezani z njimi, so bili javno objavljeni. V nastavitvah enega od teh skriptov je Tom našel zgoščeno vrednost MS SQL enega uporabnika. Malo surove čarovnije - in uporabnikov hash se je spremenil v geslo z navadnim besedilom. Hvala Johnu Razparaču in Hashcatu.
Ta ključ bi moral ustrezati skrinji. Skrinja je bila najdena, še več, z njo je bilo povezanih še deset »skrinj«. In znotraj šestih lay... pravice superuporabnika, nt avtoritetni sistem! Na dveh od njih smo lahko zagnali shranjeno proceduro xp_cmdshell in poslali ukaze cmd v Windows. Kaj več bi si lahko želeli?
Krmilniki domene
Tom Hunter je pripravil drugi udarec za domenske krmilnike. V omrežju »Psi iz Baskervillov« so bili trije, glede na število geografsko oddaljenih strežnikov. Vsak krmilnik domene ima javno mapo, kot je odprta vitrina v trgovini, blizu katere se druži isti ubogi deček Tom.
In tokrat je tip spet imel srečo - pozabili so odstraniti skripto iz vitrine, kjer je bilo v kodirano skrbniško geslo lokalnega strežnika. Pot do krmilnika domene je bila torej odprta. Vstopi, Tom!
Tukaj je bil izvlečen čarobni klobuk , ki je profitiral od več administratorjev domen. Tom Hunter je dobil dostop do vseh strojev v lokalnem omrežju, hudičev smeh pa je prestrašil mačko s sosednjega stola. Ta pot je bila krajša od pričakovane.
Večno modra
Spomin na WannaCry in Petyo je še vedno živ v glavah pentesterjev, vendar se zdi, da so nekateri skrbniki v toku drugih večernih novic pozabili na izsiljevalsko programsko opremo. Tom je odkril tri vozlišča z ranljivostjo v protokolu SMB - CVE-2017-0144 ali EternalBlue. To je ista ranljivost, ki je bila uporabljena za distribucijo izsiljevalske programske opreme WannaCry in Petya, ranljivost, ki omogoča izvajanje poljubne kode na gostitelju. Na enem od ranljivih vozlišč je bila skrbniška seja domene - »izkoristite in pridobite«. Kaj lahko, čas ni izučil vseh.
"Bastervillov pes"
Klasiki informacijske varnosti radi ponavljajo, da je najšibkejša točka vsakega sistema človek. Ste opazili, da se zgornji naslov ne ujema z imenom trgovine? Morda niso vsi tako pozorni.
V najboljših tradicijah filmskih uspešnic z lažnim predstavljanjem je Tom Hunter registriral domeno, ki se za eno črko razlikuje od domene "Baskervilleski psi". Poštni naslov na tej domeni je posnemal naslov službe za informacijsko varnost trgovine. V 4 dneh od 16 do 00 je bilo naslednje pismo enotno poslano na 17 naslovov z lažnega naslova:
Morda je le njihova lastna lenoba rešila zaposlene pred množičnim uhajanjem gesel. Od 360 pisem je bilo odprtih le 61 - varnostna služba ni zelo priljubljena. Ampak potem je bilo lažje.
Stran z lažnim predstavljanjem
46 ljudi je kliknilo na povezavo in skoraj polovica - 21 zaposlenih - ni pogledala v naslovno vrstico in je mirno vnesla svoje prijave in gesla. Dober ulov, Tom.
Omrežje Wi-Fi
Zdaj ni bilo več treba računati na mačjo pomoč. Tom Hunter je v svojo staro limuzino vrgel več kosov železa in odšel v pisarno Baskervillskega psa. Njegov obisk ni bil dogovorjen: Tom je nameraval preizkusiti strankin Wi-Fi. Na parkirišču poslovnega centra je bilo več prostih mest, ki so bila priročno vključena v obod ciljne mreže. Očitno niso veliko razmišljali o njegovi omejitvi - kot da bi skrbniki naključno zbadali dodatne točke kot odgovor na vsako pritožbo glede šibkega Wi-Fi-ja.
Kako deluje varnost WPA/WPA2 PSK? Šifriranje med dostopno točko in odjemalci je zagotovljeno s ključem pred sejo - Pairwise Transient Key (PTK). PTK uporablja Pre-Shared Key in pet drugih parametrov - SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), naslove MAC dostopne točke in odjemalca. Tom je prestregel vseh pet parametrov in zdaj je manjkal samo ključ v vnaprejšnji skupni rabi.
Pripomoček Hashcat je to manjkajočo povezavo prenesel v približno 50 minutah - in naš junak je končal v gostujočem omrežju. Iz njega ste že lahko videli delujočega - nenavadno je, da je Tom uspel geslo v približno devetih minutah. In vse to, ne da bi zapustili parkirišče, brez VPN-ja. Delovno omrežje je našemu junaku odprlo prostor za pošastne dejavnosti, vendar... ni nikoli dodal bonusov na trgovinsko kartico.
Tom se je ustavil, pogledal na uro, vrgel nekaj bankovcev na mizo in se poslovil odšel iz kavarne. Mogoče je spet pentest ali pa je že noter Mislil sem napisati...
Vir: www.habr.com