Vonesat në nënshkrim janë të zakonshme për çdo kompani të madhe. Marrëveshja midis Tom Hunter dhe një dyqani zinxhir për kafshë shtëpiake për testimin e plotë nuk ishte përjashtim. Na u desh të kontrollonim faqen e internetit, rrjetin e brendshëm dhe madje edhe Wi-Fi të punës.
Nuk është për t'u habitur që duart më kruheshin edhe para se të zgjidheshin të gjitha formalitetet. Epo, thjesht skanoni faqen për çdo rast, nuk ka gjasa që një dyqan kaq i njohur si "The Hound of the Baskervilles" të bëjë gabime këtu. Disa ditë më vonë, Tomit më në fund iu dorëzua kontrata origjinale e nënshkruar - në këtë kohë, gjatë filxhanit të tretë të kafesë, Tom nga CMS e brendshme vlerësoi me interes gjendjen e magazinës...
Burimi:
Por nuk ishte e mundur të menaxhohej shumë në CMS - administratorët e faqes ndaluan IP-në e Tom Hunter. Edhe pse do të ishte e mundur të kishe kohë për të gjeneruar bonuse në kartën e dyqanit dhe për të ushqyer macen tënde të dashur me çmim të lirë për shumë muaj... "Jo këtë herë, Darth Sidious," mendoi Tom duke buzëqeshur. Nuk do të ishte më pak interesante të kaloni nga zona e faqes së internetit në rrjetin lokal të klientit, por me sa duket këto segmente nuk janë të lidhura për klientin. Megjithatë, kjo ndodh më shpesh në kompani shumë të mëdha.
Pas të gjitha formaliteteve, Tom Hunter u armatos me llogarinë e dhënë VPN dhe shkoi në rrjetin lokal të klientit. Llogaria ishte brenda domenit Active Directory, kështu që ishte e mundur të hidhej AD pa ndonjë mashtrim të veçantë - duke kulluar të gjitha informacionet e disponueshme publikisht për përdoruesit dhe makinat e punës.
Tom nisi programin adfind dhe filloi të dërgonte kërkesa LDAP te kontrolluesi i domenit. Me një filtër në klasën e kategorisë së objektit, duke specifikuar personin si atribut. Përgjigja u kthye me strukturën e mëposhtme:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZPërveç kësaj, kishte shumë informacione të dobishme, por më interesantja ishte në fushën >përshkrim: >përshkrim. Ky është një koment në një llogari - në thelb një vend i përshtatshëm për të mbajtur shënime të vogla. Por administratorët e klientit vendosën që edhe fjalëkalimet të mund të qëndronin aty të qetë. Kush, në fund të fundit, mund të jetë i interesuar për të gjitha këto të dhëna zyrtare të parëndësishme? Pra, komentet që mori Tom ishin:
Создал Администратор, 2018.11.16 7po!*VqnNuk ka nevojë të jesh shkencëtar raketash për të kuptuar pse kombinimi në fund është i dobishëm. Gjithçka që mbeti ishte analizimi i skedarit të madh të përgjigjes nga CD-ja duke përdorur fushën >përshkrim: dhe ja ku ishin - 20 çifte hyrje-fjalëkalim. Për më tepër, pothuajse gjysma kanë të drejta aksesi në RDP. Nuk është një urë e keqe, koha për të ndarë forcat sulmuese.
rrjeti
Topat e aksesueshëm Hounds of the Baskerville të kujtonin një qytet të madh në të gjithë kaosin dhe paparashikueshmërinë e tij. Me profilet e përdoruesve dhe RDP, Tom Hunter ishte një djalë i thyer në këtë qytet, por edhe ai arriti të shihte shumë gjëra përmes dritareve të shndritshme të politikës së sigurisë.
Pjesë të serverëve të skedarëve, llogarive të kontabilitetit dhe madje edhe skriptet e lidhura me to u bënë publike. Në cilësimet e njërit prej këtyre skripteve, Tom gjeti hash-in MS SQL të një përdoruesi. Një magji e vogël e forcës brutale - dhe hash-i i përdoruesit u shndërrua në një fjalëkalim me tekst të thjeshtë. Falë John The Ripper dhe Hashcat.
Ky çelës duhet të ketë përshtatur një gjoks. Gjoksi u gjet dhe, për më tepër, me të u shoqëruan edhe dhjetë "sënduk". Dhe brenda gjashtë shtriheshin... të drejtat e superpërdoruesve, sistemi i autoritetit n! Në dy prej tyre ne mundëm të ekzekutonim procedurën e ruajtur xp_cmdshell dhe të dërgonim komanda cmd në Windows. Çfarë mund të dëshironi më shumë?
Kontrolluesit e domenit
Tom Hunter përgatiti goditjen e dytë për kontrollorët e domenit. Ishin tre prej tyre në rrjetin “Dogs of the Baskervilles”, në përputhje me numrin e serverëve të largët gjeografikisht. Çdo kontrollues domeni ka një dosje publike, si një vitrinë e hapur në një dyqan, pranë së cilës rri i njëjti djalë i varfër Tom.
Dhe këtë herë djali ishte përsëri me fat - ata harruan të hiqnin skriptin nga ekrani, ku fjalëkalimi i administratorit të serverit lokal ishte i koduar. Pra, rruga për në kontrolluesin e domenit ishte e hapur. Eja, Tom!
Këtu nga kapela magjike u tërhoq , i cili përfitoi nga disa administratorë domenesh. Tom Hunter fitoi akses në të gjitha makinat në rrjetin lokal dhe e qeshura djallëzore e trembi macen nga karrigia tjetër. Kjo rrugë ishte më e shkurtër se sa pritej.
EternalBlue
Kujtimi i WannaCry dhe Petya është ende i gjallë në mendjet e pentestuesve, por disa administratorë duket se kanë harruar ransomware në rrjedhën e lajmeve të tjera të mbrëmjes. Tom zbuloi tre nyje me një dobësi në protokollin SMB - CVE-2017-0144 ose EternalBlue. Kjo është e njëjta dobësi që është përdorur për të shpërndarë ransomware-in WannaCry dhe Petya, një dobësi që lejon ekzekutimin e kodit arbitrar në një host. Në një nga nyjet e cenueshme kishte një seancë administratori të domenit - "shfrytëzoje dhe merre atë". Çfarë mund të bëni, koha nuk i ka mësuar të gjithëve.
"Qeni i Bastervilit"
Klasikët e sigurisë së informacionit duan të përsërisin se pika më e dobët e çdo sistemi është personi. Vini re se titulli i mësipërm nuk përputhet me emrin e dyqanit? Ndoshta jo të gjithë janë kaq të vëmendshëm.
Në traditat më të mira të blockbusters phishing, Tom Hunter regjistroi një domen që ndryshon me një shkronjë nga domeni "Hounds of the Baskervilles". Adresa postare në këtë domen imitonte adresën e shërbimit të sigurisë së informacionit të dyqanit. Gjatë 4 ditëve nga ora 16:00 deri në orën 17:00, letra e mëposhtme u dërgua në mënyrë uniforme në 360 adresa nga një adresë e rreme:
Ndoshta, vetëm dembelizmi i tyre i shpëtoi punonjësit nga rrjedhja masive e fjalëkalimeve. Nga 360 letra, vetëm 61 u hapën - shërbimi i sigurisë nuk është shumë i popullarizuar. Por atëherë ishte më e lehtë.
Faqja e phishing
46 persona klikuan në lidhje dhe pothuajse gjysma - 21 punonjës - nuk shikuan shiritin e adresave dhe futën me qetësi hyrjet dhe fjalëkalimet e tyre. Kapje e bukur, Tom.
Rrjeti Wi-Fi
Tani nuk kishte nevojë të llogaritej në ndihmën e maces. Tom Hunter hodhi disa copa hekuri në sedanin e tij të vjetër dhe shkoi në zyrën e Hound of the Baskervilles. Vizita e tij nuk u ra dakord: Tom do të testonte Wi-Fi të klientit. Në parkingun e qendrës së biznesit kishte disa hapësira të lira që përfshiheshin lehtësisht në perimetrin e rrjetit të synuar. Me sa duket, ata nuk menduan shumë për kufizimin e tij - sikur administratorët po nxirrnin rastësisht pikë shtesë në përgjigje të çdo ankese për Wi-Fi të dobët.
Si funksionon siguria WPA/WPA2 PSK? Kriptimi midis pikës së aksesit dhe klientëve sigurohet nga një çelës para sesionit - Çelësi kalimtar i palëve (PTK). PTK përdor çelësin paraprak të përbashkët dhe pesë parametra të tjerë - SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), pikën e hyrjes dhe adresat MAC të klientit. Tom i kapi të pesë parametrat dhe tani mungonte vetëm çelësi paraprak i përbashkët.
Programi Hashcat shkarkoi këtë lidhje që mungonte në rreth 50 minuta - dhe heroi ynë përfundoi në rrjetin e të ftuarve. Prej tij tashmë mund të shihni atë që funksionon - çuditërisht, këtu Tom e menaxhoi fjalëkalimin në rreth nëntë minuta. Dhe e gjithë kjo pa lënë parkingun, pa asnjë VPN. Rrjeti i punës hapi hapësirën për aktivitete monstruoze për heroin tonë, por ai... nuk shtoi kurrë bonuse në kartën e dyqanit.
Tom ndaloi, shikoi orën e tij, hodhi disa kartëmonedha në tryezë dhe, duke thënë lamtumirë, u largua nga kafeneja. Ndoshta është përsëri një pentest, ose ndoshta është në Mendova te shkruaj...
Burimi: www.habr.com