Dib u dhigista saxiixu waa wax caadi u ah shirkad kasta oo weyn. Heshiiskii u dhexeeyay Tom Hunter iyo hal dukaan oo xayawaannada lagu iibiyo si sax ah ugama reebin. Waxaan ku qasbanahay inaan hubinno shabakada, shabakadda gudaha, iyo xitaa Wi-Fi shaqeeya.
La yaab maaha in gacmahaygu ay cuncunayeen xitaa ka hor inta aan dhammaan hababka la dejiyo. Hagaag, kaliya iska baadh goobta haddii ay dhacdo, uma badna in dukaanka caanka ah sida "The Hound of the Baskervilles" uu halkan qalad ku sameeyo. Dhowr maalmood ka dib, Tom ayaa ugu dambeyntii la keenay qandaraaskii asalka ahaa ee la saxiixay - waqtigan, in ka badan koobkii saddexaad ee kafeega, Tom oo ka socda CMS gudaha ayaa qiimeeyay xaaladda bakhaarrada ...
Source:
Laakiin suurtagal ma ahayn in wax badan lagu maareeyo CMS-ta maamulayaasha goobta ayaa mamnuucay Tom Hunter's IP. Inkasta oo ay suurtagal tahay in la helo wakhti aad ku abuurto gunno kaadhka dukaanka oo aad ku quudiso bisadaada aad jeceshahay qiimo jaban bilo badan ... "Ma aha wakhtigan, Darth Sidious," Tom ayaa ku fekeray dhoola cadeyn. Ma noqon doonto wax xiiso leh in laga tago aagga mareegaha ilaa shabakadda maxaliga ah ee macaamilka, laakiin sida muuqata qaybahan kuma xirna macmiilka. Weli, tani waxay ku dhacdaa marar badan shirkado aad u waaweyn.
Nidaamyada oo dhan ka dib, Tom Hunter wuxuu isku hubeeyay koontada VPN ee la bixiyay oo wuxuu aaday shabakadda maxalliga ah ee macaamiisha. Koontadu waxay ku jirtay gudaha domainka Active Directory, sidaa darteed waxaa suurtogal ah in la daadiyo AD iyada oo aan la helin khiyaamo gaar ah - daadinta dhammaan macluumaadka la heli karo ee ku saabsan isticmaalayaasha iyo mishiinnada shaqada.
Tom wuxuu bilaabay adfind utility wuxuuna bilaabay inuu u diro codsiyada LDAP maamulaha domainka. Iyada oo shaandheyn ku taal fasalka shayga, oo qofka ku tilmaamaya sifo ahaan. Jawaabtu waxay la soo noqotay qaabkan soo socda:
dn:CN=ΠΠΎΡΡΡ,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: ΠΠΎΡΡΡ
>description: ΠΡΡΡΠΎΠ΅Π½Π½Π°Ρ ΡΡΠ΅ΡΠ½Π°Ρ Π·Π°ΠΏΠΈΡΡ Π΄Π»Ρ Π΄ΠΎΡΡΡΠΏΠ° Π³ΠΎΡΡΠ΅ΠΉ ΠΊ ΠΊΠΎΠΌΠΏΡΡΡΠ΅ΡΡ ΠΈΠ»ΠΈ Π΄ΠΎΠΌΠ΅Π½Ρ
>distinguishedName: CN=ΠΠΎΡΡΡ,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZIntaa waxaa dheer, waxaa jiray macluumaad badan oo faa'iido leh, laakiin ugu xiisaha badan waxay ahayd > sharraxaadda: > goobta sharraxaadda. Tani waa faallo ku saabsan akoon - asal ahaan meel ku habboon in lagu xafido qoraallada yaryar. Laakiin maamulayaasha macmiilku waxay go'aansadeen in sirta ah ay sidoo kale si deggan u fadhiisan karaan halkaas. Yaa, ka dib oo dhan, laga yaabaa inuu xiiseynayo dhammaan diiwaannadan rasmiga ah ee aan muhiimka ahayn? Markaa faallooyinka Tom helay waxay ahaayeen:
Π‘ΠΎΠ·Π΄Π°Π» ΠΠ΄ΠΌΠΈΠ½ΠΈΡΡΡΠ°ΡΠΎΡ, 2018.11.16 7po!*VqnUma baahnid inaad noqoto saynis yahan gantaal ah si aad u fahanto sababta isku darka dhamaadka uu faa'iido u leeyahay. Waxa hadhay oo dhan waxay ahayd in la kala saaro faylka jawaabta weyn ee CD-ga iyada oo la adeegsanayo> goobta sharraxaadda: oo halkan waxay ahaayeen - 20 lammaane-password-ka-soo gala. Intaa waxaa dheer, ku dhawaad ββkala badh ayaa leh xuquuqaha gelitaanka RDP. Ma aha buundada xun, waa waqtigii la kala qaybin lahaa ciidamada weerarka soo qaaday.
shabakad
Hounds-yada la heli karo ee kubbadaha Baskerville waxay ahaayeen kuwo xasuusin magaalo weyn oo dhan qas iyo aan la saadaalin karin. Isticmaalayaasha iyo profiles RDP, Tom Hunter wuxuu ahaa wiil jabay magaaladan, laakiin xitaa wuxuu ku guuleystay inuu waxyaabo badan ku arko daaqadaha dhalaalaya ee siyaasadda amniga.
Qaybo ka mid ah server-yada faylalka, xisaabaadka xisaabaadka, iyo xitaa qoraallada iyaga la xidhiidha ayaa dhammaantood la soo bandhigay. Goobaha mid ka mid ah qoraaladan, Tom wuxuu helay hash MS SQL ee hal isticmaale. Sixir xoog yar oo caasi ah - iyo xashiishkii isticmaaluhu wuxuu isu beddelay erayga sirta ah ee qoraalka ah. Waad ku mahadsan tahay John The Ripper iyo Hashcat.
Furahani waa inuu lahaadaa xoogaa laabta ah. Laabta ayaa la helay, iyo waxa ka sii badan, toban kale oo "xabad" ah ayaa lala xiriiriyay. Lixda gudaheedana waxay jiifaan⦠xuquuqaha kormeeraha, nt nidaamka maamulka! Laba ka mid ah waxaan awoodnay inaan socodsiino nidaamka kaydsan ee xp_cmdshell oo aan u dirno amarrada cmd Windows. Maxaa kale oo aad rabi kartaa?
Maamulayaasha domain
Tom Hunter wuxuu u diyaariyay dharbaaxadii labaad ee maamulayaasha domainka. Waxaa jiray saddex ka mid ah shabakada "Hounds of the Baskervilles", iyada oo la raacayo tirada juqraafi ahaan server-yada fog. Koontaroole kastaa wuxuu leeyahay gal dadweyne, sida kiis bannaan oo bakhaar ku yaal, oo u dhow isla wiilka miskiinka ah ee Tom.
Oo wakhtigan nin ayaa mar kale nasiib u yeeshay - waxay illoobeen inay ka saaraan qoraalka kiiska bandhigga, halkaas oo lambarka sirta ah ee maamulka server-ka uu ahaa mid adag. Markaa dariiqa loo maro maamulaha domain way furnayd. Soo gal, Tom!
Halkan koofiyadda sixirka ayaa laga soo jiiday , kuwaas oo ka macaashay dhowr maamulayaal domain. Tom Hunter wuxuu helay dhammaan mishiinnada shabakada maxalliga ah, iyo qosolka shaydaanku wuxuu ka baqay bisada kursiga xiga. Jidkani wuxuu ahaa mid ka gaaban sidii la filayay.
EternalBlue
Xusuusta WannaCry iyo Petya wali waxay ku nool yihiin maskaxda pentesters, laakiin qaar ka mid ah maamulayaasha ayaa u muuqda inay illoobeen ransomware socodka wararka fiidkii kale. Tom wuxuu daah-furay saddex nuuc oo leh nuglaanta borotokoolka SMB - CVE-2017-0144 ama EternalBlue. Tani waa isla dayacanka loo adeegsaday qaybinta WannaCry iyo Petya ransomware, nuglaanta u ogolaanaysa in kood aan sabab lahayn lagu fuliyo martigeliyaha. Mid ka mid ah noodhka nugul waxaa jiray kalfadhi maamuleedka domain - "ka faa'iidayso oo hel." Maxaad samayn kartaa, wakhtigu ma barin qof kasta.
"Eyga Basterville"
Noocyada amniga macluumaadka waxay jecel yihiin inay ku celiyaan in meesha ugu liidata ee nidaam kasta uu yahay qofka. Ogow in ciwaanka sare aanu ku habboonayn magaca dukaanka? Waxaa laga yaabaa in qof walba uusan sidaas u fiirsan.
Dhaqannada ugu wanaagsan ee phishing blockbusters, Tom Hunter waxa uu diiwaan gashaday domain ka duwan hal xaraf oo ka yimid domainka "Hounds of the Baskervilles". Ciwaanka boostada ee boggan waxa uu ku dayday ciwaanka adeega amniga macluumaadka dukaanka Muddo 4 maalmood ah laga bilaabo 16:00 ilaa 17:00, warqadda soo socota ayaa si isku mid ah loogu diray 360 ciwaan oo cinwaan been abuur ah:
Malaha, caajisnimadooda oo keliya ayaa shaqaalahooda ka badbaadiyay qulqulka furaha sirta ah. 360 ka mid ah emails, kaliya 61 ayaa la furay - adeegga ammaanku maaha mid caan ah. Laakin markaas way fududahay.
Bogga phishingka
46 qof ayaa gujiyay isku xirka, ku dhawaad ββkala bar - 21 shaqaale ah - ma eegin ciwaanka ciwaanka waxayna si degan u galeen login-yadooda iyo furaha sirta ah. Qabasho fiican, Tom.
Shabakadda Wi-Fi
Hadda looma baahnayn in lagu xisaabtamo caawinta bisadda. Tom Hunter ayaa dhawr xabbadood oo bir ah ku tuuray seedankiisii ββhore wuxuuna aaday xafiiska Hound of the Baskervilles. Booqashadiisa laguma heshiin: Tom waxa uu doonayey in uu tijaabiyo Wi-Fi-ga macmiilka. Goobta baabuurta la dhigto ee xarunta ganacsiga waxaa ku yaal dhowr meelood oo bilaash ah kuwaas oo si ku habboon loogu daray wareegga shabakada bartilmaameedka. Sida muuqata, wax badan kama ay fikirin xaddididda - sidii haddii maamulayaashu ay si aan kala sooc lahayn u xajinayeen dhibco dheeraad ah iyaga oo ka jawaabaya cabasho kasta oo ku saabsan Wi-Fi daciif ah.
Sidee buu u shaqeeyaa ammaanka WPA/WPA2 PSK? Sirta u dhaxaysa barta gelitaanka iyo macaamiisha waxaa bixiya furaha casharka hore - Pairwise Transient Key (PTK). PTK waxay isticmaashaa Furaha Hore loo wadaagay iyo shan cabbir oo kale - SSID, Xaqiijiye Ogaysiis (Ogaysiis), Ogaysiis Codsiyeed (SNounce), barta gelitaanka iyo cinwaanka MAC macmiilka. Tom waxa uu dhexda ka galay dhammaan shantii halbeeg, oo hadda Furihii hore ee la wadaagay oo keliya ayaa maqan.
Utility Hashcat ayaa soo dejisay xiriirinta maqan muddo 50 daqiiqo gudahood ah - geesigeenna wuxuu ku dhammaaday shabakadda martida. Halkaa waxa aad horeba uga arki kartay midka shaqaynaya - si yaab leh, halkan Tom waxa uu maamulay erayga sirta ah ilaa sagaal daqiiqo. Oo waxaas oo dhan iyada oo aan ka tagin goobta baabuurta la dhigto, iyada oo aan wax VPN ah. Shabakadda shaqadu waxay u furtay baaxadda waxqabadyada bahalnimada ah ee geesigeenna, laakiin isagu... waligiis kuma darin gunno kaarka dukaanka.
Tom wuu aamusay, waxa uu eegay saacadiisa, waxa uu ku tuuray laba warqadood oo lacag ah miiska, isaga oo macsalaameeyay, ka baxay maqaaxida. Waxaa laga yaabaa in ay mar kale tahay pentest, ama laga yaabo in ay ku jirto Waxaan ku fikiray inaan qoro...
Source: www.habr.com