Једном пентест, или Како све разбити уз помоћ уролога и Роскомнадзора

Једном пентест, или Како све разбити уз помоћ уролога и Роскомнадзора
Овај чланак је заснован на веома успешном пентесту који су стручњаци Групе-ИБ спровели пре неколико година: догодила се прича која би се могла адаптирати за филм у Боливуд. Сада ће вероватно уследити реакција читаоца: „Ох, још један ПР чланак, опет се приказују ови, како су добри, не заборавите да купите пентест. Па, с једне стране, јесте. Међутим, постоји низ других разлога зашто се овај чланак појавио. Желео сам да покажем шта тачно раде пентестери, колико овај рад може бити занимљив и нетривијалан, које смешне околности могу да настану у пројектима, и што је најважније, да покажем живи материјал са стварним примерима.

Да бисмо вратили равнотежу скромности у свету, после неког времена писаћемо о пентесту који није добро прошао. Показаћемо како добро осмишљени процеси у компанији могу да заштите од читавог низа напада, чак и оних добро припремљених, само зато што ти процеси постоје и заиста функционишу.

За купца у овом чланку, такође је све било генерално одлично, барем боље од 95% тржишта у Руској Федерацији, према нашем мишљењу, али је постојао низ малих нијанси које су формирале дугачак ланац догађаја, који су први довео до дугог извештаја о раду, а затим и до овог чланка.

Дакле, направимо залихе кокица, и добродошли у детективску причу. Реч - Павел Супруниук, технички менаџер одељења „Ревизија и консалтинг“ Групе-ИБ.

Део 1. Почкин доктор

2018 Постоји купац - високотехнолошка ИТ компанија, која сама опслужује многе клијенте. Жели да добије одговор на питање: да ли је могуће, без икаквог почетног знања и приступа, радећи преко Интернета, добити администраторска права Ацтиве Дирецтори домена? Не занима ме никакав друштвени инжењеринг (о, али узалуд), немају намеру да намерно ометају рад, али могу случајно - поново учитати сервер који чудно ради, на пример. Додатни циљ је идентификовати што више других вектора напада на спољни периметар. Компанија редовно спроводи овакве тестове, а сада је стигао и рок за ново тестирање. Услови су скоро типични, адекватни, разумљиви. Хајде да почнемо.

Постоји име купца - нека то буде „Компанија“, са главном веб локацијом ввв.цомпани.ру. Наравно, купац се зове другачије, али у овом чланку све ће бити безлично.
Спроводим извиђање мреже - сазнам које адресе и домени су регистровани код корисника, нацртам мрежни дијаграм, како се услуге дистрибуирају на ове адресе. Добио сам резултат: више од 4000 живих ИП адреса. Посматрам домене у овим мрежама: срећом, велика већина су мреже намењене клијентима корисника, а ми нисмо формално заинтересовани за њих. Купац мисли исто.

Остала је једна мрежа са 256 адреса, за коју до овог тренутка већ постоји разумевање дистрибуције домена и поддомена по ИП адресама, постоје информације о скенираним портовима, што значи да можете погледати сервисе за интересантне. Паралелно, све врсте скенера се покрећу на доступним ИП адресама и одвојено на веб локацијама.

Постоји много услуга. Обично је то радост за пентестера и ишчекивање брзе победе, јер што је више сервиса, веће је поље за напад и лакше је пронаћи артефакт. Брзи преглед сајтова показао је да су већина њих веб интерфејси познатих производа великих светских компанија, који вам по свему судећи говоре да нису добродошли. Они траже корисничко име и лозинку, протресу поље за уношење другог фактора, траже ТЛС сертификат клијента или га пошаљу у Мицрософт АДФС. Неки су једноставно недоступни са Интернета. За неке, очигледно је потребно да имате посебног плаћеног клијента за три плате или да знате тачан УРЛ за унос. Хајде да прескочимо још једну недељу постепеног малодушја у процесу покушаја да „пробијемо“ верзије софтвера за познате рањивости, тражећи скривени садржај на веб путањама и процуреле налоге са услуга трећих страна као што је ЛинкедИн, покушавајући да погодимо лозинке користећи их, такође као ископавање рањивости на веб локацијама које сами пишу — иначе, према статистикама, ово је најперспективнији вектор спољног напада данас. Одмах ћу приметити филмски пиштољ који је накнадно испалио.

Дакле, пронашли смо два сајта која су се издвојила од стотина услуга. Ове локације су имале једну заједничку ствар: ако се не бавите педантно извиђањем мреже по домену, већ директно тражите отворене портове или циљате скенер рањивости користећи познати ИП опсег, онда ће ови сајтови избећи скенирање и једноставно неће бити видљив без познавања ДНС имена. Можда су барем раније пропуштени, а наши аутоматски алати нису пронашли никакве проблеме са њима, чак и ако су послати директно на ресурс.

Узгред, о томе шта су раније лансирани скенери пронашли уопште. Да вас подсетим: за неке људе, „пентест“ је еквивалентан „аутоматском скенирању“. Али скенери на овом пројекту нису рекли ништа. Па, максимум су показале средње рањивости (3 од 5 по озбиљности): на неким сервисима лош ТЛС сертификат или застарели алгоритми шифровања, а на већини сајтова Цлицкјацкинг. Али ово вас неће довести до циља. Можда би скенери били кориснији овде, али да вас подсетим: сам купац може да купи такве програме и да се тестира са њима, и, судећи по лошим резултатима, већ је проверио.

Вратимо се на „аномалне” локације. Први је нешто попут локалне Вики на нестандардној адреси, али у овом чланку нека то буде вики.цомпани[.]ру. Такође је одмах затражила логин и лозинку, али преко НТЛМ-а у претраживачу. За корисника ово изгледа као аскетски прозор који тражи да унесе корисничко име и лозинку. А ово је лоша пракса.

Мала напомена. НТЛМ на периметарским веб локацијама је лош из више разлога. Први разлог је тај што је откривено име домена Ацтиве Дирецтори. У нашем примеру се такође испоставило да је то цомпани.ру, баш као и „екстерно“ ДНС име. Знајући ово, можете пажљиво припремити нешто злонамерно тако да се извршава само на машини домена организације, а не у неком сандбок-у. Друго, аутентификација иде директно преко контролера домена преко НТЛМ-а (изненађење, зар не?), са свим карактеристикама „интерних” мрежних политика, укључујући блокирање налога од прекорачења броја покушаја уноса лозинке. Ако нападач сазна податке за пријављивање, тражиће лозинке за њих. Ако сте конфигурисани да блокирате налоге од уношења нетачних лозинки, то ће функционисати и налог ће бити блокиран. Треће, немогуће је додати други фактор таквој аутентификацији. Ако неко од читалаца још увек зна како, молим вас да ми кажете, заиста је занимљиво. Четврто, рањивост на нападе преношења хеш-а. АДФС је измишљен, између осталог, да заштити од свега овога.

Постоји једно лоше својство Мицрософт производа: чак и ако нисте посебно објавили такав НТЛМ, он ће се подразумевано инсталирати барем у ОВА и Линц-у.

Иначе, аутор овог чланка је једном истом методом случајно блокирао око 1000 рачуна запослених у једној великој банци за само сат времена, а затим изгледао помало бледо. Бледе су и информатичке услуге банке, али се све завршило добро и адекватно, чак смо и похваљени да смо први открили овај проблем и испровоцирали брзо и одлучно решење.

Други сајт је имао адресу „очигледно нека врста презимена.цомпани.ру“. Нашао сам преко Гугла, нешто овако на страни 10. Дизајн је био с почетка-средине XNUMX-их, а угледна особа га је гледала са главне странице, отприлике овако:

Једном пентест, или Како све разбити уз помоћ уролога и Роскомнадзора
Овде сам узео снимак из „Срце пса“, али верујте ми, био је магловито сличан, чак је и дизајн боја био у сличним тоновима. Нека се сајт зове преобразхенски.цомпани.ру.

Био је то лични сајт... за уролога. Питао сам се шта ради веб локација уролога на поддомену високотехнолошке компаније. Брзо копање у Гуглу показало је да је овај доктор био суоснивач једног од правних лица нашег клијента и да је чак унео око 1000 рубаља у одобрени капитал. Сајт је вероватно направљен пре много година, а серверски ресурси корисника су коришћени као хостинг. Сајт је одавно изгубио своју релевантност, али је из неког разлога остављен да ради дуже време.

Што се тиче рањивости, сама веб локација је била сигурна. Гледајући унапред, рећи ћу да је то био скуп статичних информација – једноставне хтмл странице са уметнутим илустрацијама у виду бубрега и бешике. Бескорисно је „разбијати“ такав сајт.

Али веб сервер испод њега је био занимљивији. Судећи по заглављу HTTP Server, користио је IIS 6.0, што значи да је коришћен. Windows 2003. као оперативни систем. Скенер је претходно открио да је веб-сајт овог уролога, за разлику од других виртуелних хостова на истом веб серверу, одговорио на команду PROPFIND, што значи да је WebDAV омогућен. Узгред, скенер је пријавио ову информацију са заставицом Info (жаргоном извештавања скенера, ово је најмањи ризик) - ствари попут ове се обично једноставно игноришу. У комбинацији, ово је произвело занимљив ефекат који је откривен тек након још мало претраживања на Гуглу: ретка рањивост препуњавања бафера повезана са комплетом Shadow Brokers, тачније CVE-2017-7269, који је већ имао готов експлоит. Другим речима, то је катастрофа ако ви... Windows 2003 и WebDAV ради на IIS-у. Иако ради у продукцији Windows 2003. и 2018. је сама по себи катастрофа.

Експлоат је завршио у Метасплоит-у и одмах је тестиран са оптерећењем које је послало ДНС захтев контролисаној услузи - Бурп Цоллаборатор се традиционално користи за хватање ДНС захтева. На моје изненађење, успело је први пут: примљен је ДНС нокаут. Затим је дошло до покушаја да се направи повратна конекција преко порта 80 (тј. мрежна веза од сервера до нападача, са приступом цмд.еке на хосту жртве), али се онда догодио фијаско. До везе није дошло, а након трећег покушаја коришћења сајта, заједно са свим занимљивим сликама, заувек је нестао.

Обично после тога следи писмо у стилу „муштерија, пробуди се, све смо испустили“. Али речено нам је да сајт нема никакве везе са пословним процесима и да ту ради без разлога, као и цео сервер, и да можемо да користимо овај ресурс како хоћемо.
Отприлике дан касније сајт је изненада почео да ради сам. Након што сам направио клупу из ВебДАВ-а на ИИС-у 6.0, открио сам да је подразумевана поставка поновно покретање ИИС радних процеса сваких 30 сати. То јест, када је контрола изашла из схеллцоде-а, радни процес ИИС-а се завршио, затим се поново покренуо неколико пута и онда је отишао у мировање 30 сати.

Пошто повратно повезивање са тцп-ом није успело први пут, овај проблем сам приписао затвореном порту. Односно, претпоставио је присуство неке врсте заштитног зида који није дозвољавао одлазним везама да прођу напоље. Почео сам да покрећем схеллцодеове који су претраживали многе тцп и удп портове, није било ефекта. Учитавање обрнутог повезивања преко хттп(ова) из Метасплоита није функционисало - метерпретер/реверсе_хттп(с). Одједном је успостављена веза са истим портом 80, али је одмах прекинута. То сам приписао акцији још увек имагинарног ИПС-а, коме се није допао саобраћај метерпретера. У светлу чињенице да чиста тцп веза са портом 80 није прошла, али јесте хттп веза, закључио сам да је хттп проки на неки начин конфигурисан у систему.

Чак сам покушао и метерпретер преко ДНС-а (хвала д00кие за ваше напоре, спасио многе пројекте), подсећајући се на први успех, али није функционисао ни на постољу - схеллцоде је био превише обиман за ову рањивост.

У стварности је то изгледало овако: 3-4 покушаја напада у року од 5 минута, па чекање 30 сати. И тако три недеље заредом. Чак сам поставио и подсетник да не бих губио време. Поред тога, постојала је разлика у понашању тестног и производног окружења: за ову рањивост постојала су два слична експлоатације, једна из Метасплоита, друга са Интернета, конвертована из верзије Схадов Брокерс. Дакле, само Метасплоит је тестиран у борби, а само други је тестиран на клупи, што је додатно отежало отклањање грешака и разбијало мозак.

На крају се показао ефикасним схеллцоде који је преузео еке датотеку са датог сервера преко хттп-а и покренуо је на циљном систему. Схеллцоде је био довољно мали да стане, али је барем функционисао. Пошто се серверу уопште није допао ТЦП саобраћај и да је хттп(с) проверен на присуство метерпретера, одлучио сам да је најбржи начин да преузмем еке датотеку која садржи ДНС-метерпретер преко овог схеллцоде-а.

Овде је поново настао проблем: приликом преузимања еке датотеке и, како су покушаји показали, без обзира на коју, преузимање је прекинуто. Опет, неки сигурносни уређај између мог сервера и уролога није волео хттп саобраћај са еке унутра. Чинило се да је „брзо“ решење било да се промени схеллцоде тако да прикрива хттп саобраћај у ходу, тако да се апстрактни бинарни подаци преносе уместо еке. Коначно, напад је успео, контрола је примљена преко танког ДНС канала:

Једном пентест, или Како све разбити уз помоћ уролога и Роскомнадзора
Одмах је постало јасно да имам најосновнија права на ИИС радни ток, која ми омогућавају да не радим ништа. Овако је то изгледало на Метасплоит конзоли:

Једном пентест, или Како све разбити уз помоћ уролога и Роскомнадзора
Све пентест методологије снажно сугеришу да морате повећати права када добијате приступ. Обично то не радим локално, пошто се први приступ посматра једноставно као мрежна улазна тачка, а компромитовање друге машине на истој мрежи је обично лакше и брже од ескалације привилегија на постојећем хосту. Али то овде није случај, пошто је ДНС канал веома узак и неће дозволити да се саобраћај разјасни.

Под претпоставком да је овај сервер Windows Верзија 2003 није била исправљена за озлоглашену рањивост MS17-010. Тунелирао сам саобраћај на порт 445/TCP кроз Meterpreter DNS тунел до localhost-а (да, то је могуће) и покушао да покренем претходно преузету .exe датотеку кроз рањивост. Напад је успео и добио сам другу везу, али овај пут са системским привилегијама.

Једном пентест, или Како све разбити уз помоћ уролога и Роскомнадзора

Занимљиво је да су ипак покушали да заштите сервер од МС17-010 – имао је онемогућене рањиве мрежне услуге на спољном интерфејсу. Ово штити од напада преко мреже, али напад изнутра на лоцалхост је успео, пошто не можете само брзо да искључите СМБ на локалном хосту.

Затим се откривају нови занимљиви детаљи:

  1. Имајући СИСТЕМСКА права, лако можете успоставити повратну везу преко ТЦП-а. Очигледно, онемогућавање директног ТЦП-а је стриктно проблем за ограниченог корисника ИИС-а. Спојлер: ИИС кориснички саобраћај је некако био умотан у локални ИСА проки у оба смера. Како тачно ради, нисам репродуковао.
  2. Ја сам у одређеном „ДМЗ“ (а ово није домен Ацтиве Дирецтори, већ РАДНА ГРУПА) - звучи логично. Али уместо очекиване приватне („сиве“) ИП адресе, имам потпуно „белу“ ИП адресу, потпуно исту као и она коју сам раније напао. То значи да је компанија толико стара у свету ИПв4 адресирања да може да приушти одржавање ДМЗ зоне за 128 „белих“ адреса без НАТ-а према шеми, као што је приказано у Цисцо приручницима из 2005.

Пошто је сервер стар, Мимикатз гарантовано ради директно из меморије:

Једном пентест, или Како све разбити уз помоћ уролога и Роскомнадзора
Добијам лозинку локалног администратора, тунелирам RDP саобраћај преко TCP-а и пријављујем се на удобан десктоп. Пошто сам могао да радим било шта са сервером, деинсталирао сам антивирус и открио да је сервер био доступан само са интернета преко TCP портова 80 и 443, са 443 слободним. Подигао сам сервер на 443. OpenVPN, додајем NAT функције за свој VPN саобраћај и добијам директан приступ DMZ мрежи у неограниченом облику преко мог OpenVPNВреди напоменути да је ISA, упркос томе што има неке IPS функције које се не могу онемогућити, блокирао мој саобраћај скенирања портова, приморавајући ме да га заменим једноставнијим и компатибилнијим RRAS-ом. Дакле, пентестери и даље понекад морају да администрирају ствари.

Једном пентест, или Како све разбити уз помоћ уролога и Роскомнадзора
Пажљиви читалац ће питати: „Шта је са другом локацијом - вики са НТЛМ аутентификацијом, о којој је толико писано?“ Више о овоме касније.

Део 2. Још увек не шифрујете? Онда већ овде долазимо код вас

Дакле, постоји приступ сегменту ДМЗ мреже. Морате да одете до администратора домена. Прво што вам пада на памет је аутоматска провера безбедности услуга у оквиру ДМЗ сегмента, поготово што је много више њих сада отворено за истраживање. Типична слика током теста пенетрације: спољни периметар је боље заштићен од интерних сервиса, а када се добије било какав приступ унутар велике инфраструктуре, много је лакше добити проширена права у домену само због чињенице да овај домен почиње да се доступан алатима, и друго, у инфраструктури са неколико хиљада хостова увек ће постојати неколико критичних проблема.

Пуним скенере преко DMZ-а OpenVPNТунел, чекам. Отварам извештај — опет, ништа озбиљно; очигледно је неко други већ урадио исто. Следећи корак је истражити како хостови унутар DMZ мреже комуницирају. Да бих то урадио, прво покрећем Wireshark и слушам захтеве за емитовање, првенствено ARP. ARP пакети су прикупљани цео дан. Испоставља се да се у овом сегменту користи више гејтвеја. Ово ће бити корисно касније. Спајањем ARP података захтева и одговора са подацима скенирања портова, пронашао сам излазне тачке за кориснички саобраћај унутар локалне мреже, поред раније познатих сервиса, као што су веб и пошта.

Пошто тренутно нисам имао приступ другим системима и нисам имао ниједан налог за корпоративне услуге, одлучено је да из саобраћаја извучем бар неки налог користећи АРП Споофинг.

Цаин&Абел је покренут на серверу уролога. Узимајући у обзир идентификоване токове саобраћаја, изабрани су најперспективнији парови за напад човек у средини, а затим је примљен део мрежног саобраћаја краткорочним покретањем у трајању од 5-10 минута, са тајмером за поновно покретање сервера. у случају смрзавања. Као у шали, биле су две вести:

  1. Добро: прикупљено је много акредитива и напад је у целини успео.
  2. Лоше: сви акредитиви су били од сопствених клијената купца. Током пружања услуга подршке, стручњаци за клијенте су се повезивали са услугама клијената који нису увек имали конфигурисано шифровање саобраћаја.

Као резултат тога, стекао сам мноштво акредитива који су били бескорисни у контексту пројекта, али свакако занимљиви као демонстрација опасности од напада. Гранични рутери великих компанија са Телнетом, прослеђивање HTTP портова за отклањање грешака ка интерним CRM системима са свим подацима, директан RDP приступ из... Windows XP на локалној мрежи и остале мрачњаштво. Испоставило се да је нешто овако Компромис ланца снабдевања према МИТЕР матрици.

Нашао сам и смешну прилику да скупљам писма из саобраћаја, овако нешто. Ово је пример готовог писма које је од нашег клијента отишло на СМТП порт његовог клијента, опет, без шифровања. Извесни Андреј тражи од свог имењака да поново пошаље документацију, а она се учитава на клауд диск са логин, лозинком и линком у једном одговору:

Једном пентест, или Како све разбити уз помоћ уролога и Роскомнадзора
Ово је још један подсетник да шифрујете све услуге. Не зна се ко ће и када конкретно читати и користити ваше податке - провајдер, систем администратор друге компаније или такав пентестер. Ћутим о томе да многи људи једноставно могу пресрести нешифровани саобраћај.

И поред привидног успеха, ово нас није приближило циљу. Могло је, наравно, дуго седети и извлачити вредне информације, али није чињеница да ће се тамо појавити, а сам напад је веома ризичан у смислу интегритета мреже.

Након још једног копања у сервисима, пала ми је на памет занимљива идеја. Постоји такав услужни програм који се зове Респондер (лако је пронаћи примере коришћења под овим именом), који „тровањем“ захтева за емитовање провоцира везе преко разних протокола као што су СМБ, ХТТП, ЛДАП, итд. на различите начине, затим тражи од свакога ко се повеже да се аутентификује и подешава тако да се аутентификација одвија преко НТЛМ-а иу режиму транспарентном за жртву. Најчешће, нападач на овај начин прикупља НетНТЛМв2 руковања и од њих, користећи речник, брзо враћа лозинке корисника домена. Овде сам желео нешто слично, али корисници су седели „иза зида“, односно били су одвојени заштитним зидом и приступали ВЕБ-у преко прокси кластера Блуе Цоат.

Сећате се како сам навео да је име домена Active Directory исто као и „спољни“ домен, тј. company.ru? Па, Windows, или прецизније, Internet Explorer (и Edge и Chrome), омогућавају корисницима транспарентну аутентификацију на HTTP путем NTLM-а ако верују да се сајт налази у „интранет зони“. Један од знакова „интранета“ је приступ путем „сиве“ IP адресе или кратког DNS имена, тј. без тачака. Пошто је сервер имао „белу“ IP адресу и DNS име preobrazhensky.company.ru, а машине са доменима обично добијају суфикс домена Active Directory путем DHCP-а за поједностављени унос имена, требало им је само да укуцају URL адресу у адресну траку. преображенски, тако да пронађу прави пут до сервера компромитованог уролога, не заборављајући да се то сада зове „Интранет“. То јест, истовремено ми даје корисников НТЛМ руковање без његовог знања. Остаје само да се натерају клијентски претраживачи да размисле о хитној потреби да контактирају овај сервер.

Прекрасан услужни програм Интерцептер-НГ је дошао у помоћ (хвала Пресретач). Омогућавало је промену саобраћаја у ходу и савршено је функционисало на Windows 2003. Чак је постојала и посебна функција за модификовање само JavaScript датотека у току саобраћаја. Планирана је нека врста масовног cross-site скриптовања.

Блуе Цоат проксији, преко којих су корисници приступали глобалном ВЕБ-у, периодично су кеширали статички садржај. Пресретањем саобраћаја, било је јасно да раде даноноћно, бесконачно тражећи често коришћену статику за убрзавање приказа садржаја у вршним сатима. Поред тога, БлуеЦоат је имао специфичног корисничког агента, који га је јасно разликовао од правог корисника.

Припремљен је Јавасцрипт, који је, користећи Интерцептер-НГ, имплементиран сат времена ноћу за сваки одговор са ЈС фајловима за Блуе Цоат. Сценарио је урадио следеће:

  • Кориснички агент је одредио тренутни претраживач. Ако је то био Интернет Екплорер, Едге или Цхроме, наставио је да ради.
  • Чекао сам да се формира ДОМ странице.
  • Уметнута невидљива слика у ДОМ са срц атрибутом обрасца преображенски:8080/ННННННН.пнг, где су ННН произвољни бројеви тако да их БлуеЦоат не кешира.
  • Подесите променљиву глобалне заставице која означава да је ињекција завршена и да више нема потребе за уметањем слика.

Претраживач је покушао да учита ову слику на порту 8080 компромитованог сервера, ТЦП тунел је чекао на мој лаптоп, где је радио исти Респондер, захтевајући да се претраживач пријави преко НТЛМ-а.

Једном пентест, или Како све разбити уз помоћ уролога и Роскомнадзора
Судећи по записницима Респондер-а, људи су ујутро долазили на посао, укључивали своје радне станице, а затим масовно и непримећено почели да посећују сервер уролога, не заборављајући да „исцеде“ НТЛМ руковање. Руковање је пљуштало цео дан и јасно накупило материјал за очигледно успешан напад на враћање лозинки. Овако су изгледали записници одговора:

Једном пентест, или Како све разбити уз помоћ уролога и РоскомнадзораМасовне тајне посете корисника серверу уролога

Вероватно сте већ приметили да је цела ова прича изграђена по принципу „све је било у реду, али онда је била невоља, па је дошло до превазилажења, па је све дошло до успеха“. Дакле, овде је била невоља. Од педесет јединствених руковања, ниједан није откривен. А ово узима у обзир чињеницу да се чак и на лаптопу са мртвим процесором ови НТЛМв2 руковања обрађују брзином од неколико стотина милиона покушаја у секунди.

Морао сам да се наоружам техникама мутације лозинке, видео картицом, дебљим речником и чекам. После дужег времена откривено је неколико налога са лозинкама облика „К11111111....1111111к“, што сугерише да су сви корисници некада били приморани да смисле веома дугачку лозинку са различитим малим и великим словима, што је такође требало да бити сложен. Али не можете преварити искусног корисника, и овако је себи олакшао памћење. Укупно је компромитовано око 5 налога, а само један од њих је имао вредна права на услуге.

Део 3. Роскомнадзор узвраћа ударац

Дакле, први доменски налози су примљени. Ако до овог тренутка нисте заспали од дугог читања, вероватно ћете се сетити да сам поменуо услугу која није захтевала други фактор аутентификације: то је вики са НТЛМ аутентификацијом. Наравно, прво је требало ући тамо. Копање по интерној бази знања брзо је донело резултате:

  • Компанија има ВиФи мрежу са аутентификацијом користећи доменске налоге са приступом локалној мрежи. Са тренутним скупом података, ово је већ радни вектор напада, али морате да идете ногама у канцеларију и да се налазите негде на територији канцеларије клијента.
  • Пронашао сам инструкцију према којој постоји сервис који је дозвољавао... да самостално региструје уређај за аутентификацију „другог фактора“ ако је корисник унутар локалне мреже и поуздано памти свој домен за пријаву и лозинку. У овом случају, „изнутра“ и „споља“ је одређена доступност порта ове услуге кориснику. Порт није био доступан са Интернета, али је био прилично доступан преко ДМЗ-а.

Наравно, компромитованом налогу је одмах додат „други фактор“ у виду апликације на мом телефону. Постојао је програм који је могао или гласно да пошаље пусх захтев на телефон помоћу дугмади „одобри“/„неодобре“ за акцију, или да тихо прикаже ОТП код на екрану за даљи независни улазак. Штавише, први метод је према упутствима требало да буде једини исправан, али није функционисао, за разлику од ОТП методе.

Пошто је „други фактор“ прекинут, могао сам да приступим Оутлоок Веб Аццесс пошти и удаљеном приступу у Цитрик Нетсцалер Гатеваи-у. Било је изненађење у маилу у Оутлоок-у:

Једном пентест, или Како све разбити уз помоћ уролога и Роскомнадзора
На овом ретком снимку можете видети како Роскомнадзор помаже пентестерима

Били су то први месеци након чувеног „навијачког“ блокирања Телеграма, када су читаве мреже са хиљадама адреса неумитно нестале из приступа. Постало је јасно зашто притисак није успео одмах и зашто моја „жртва“ није огласила аларм јер су почели да користе њен налог током радног времена.

Свако ко познаје Цитрик Нетсцалер замишља да се обично имплементира тако да се кориснику може пренети само интерфејс слике, покушавајући да му не да алате за покретање апликација трећих страна и пренос података, ограничавајући на сваки могући начин радње преко стандардних контролних шкољки. Моја "жртва", због свог занимања, добила је само 1Ц:

Једном пентест, или Како све разбити уз помоћ уролога и Роскомнадзора
Након што сам мало прошетао 1Ц интерфејсом, открио сам да тамо постоје екстерни модули за обраду. Могу се учитати из интерфејса, а извршаваће се на клијенту или серверу, у зависности од права и подешавања.

Замолио сам своје пријатеље 1Ц програмере да креирају обраду која би прихватила стринг и извршила га. На језику 1Ц, покретање процеса изгледа отприлике овако (преузето са Интернета). Да ли се слажете да синтакса језика 1Ц задивљује људе који говоре руски својом спонтаношћу?

Једном пентест, или Како све разбити уз помоћ уролога и Роскомнадзора

Обрада је изведена савршено, испоставило се да је то оно што пентестери зову „љуска“ – преко ње је покренут Интернет Екплорер.

Једном пентест, или Како све разбити уз помоћ уролога и Роскомнадзора
Раније је у пошти пронађена адреса система који вам омогућава да наручите пропуснице за територију. Наручио сам пропусницу у случају да морам да користим вектор напада на ВиФи.

Једном пентест, или Како све разбити уз помоћ уролога и Роскомнадзора
На интернету се прича да је још увек било укусног бесплатног кетеринга у канцеларији муштерије, али ја сам ипак радије развијао напад на даљину, тако је мирније.

АппЛоцкер је активиран на серверу апликација на којем је покренут Цитрик, али је заобиђен. Исти Метерпретер је учитан и покренут преко ДНС-а, пошто хттп(с) верзије нису хтеле да се повежу, а ја нисам знао интерну адресу проксија у то време. Иначе, од овог тренутка спољашњи пентест се у суштини потпуно претворио у унутрашњи.

Део 4. Администраторска права за кориснике су лоша, у реду?

Први задатак пентестера када стекне контролу над сесијом корисника домена је да прикупи све информације о правима у домену. Постоји услужни програм БлоодХоунд који вам аутоматски омогућава преузимање информација о корисницима, рачунарима, безбедносним групама преко ЛДАП протокола са контролера домена, а преко СМБ - информација о томе који корисник се недавно пријавио где је и ко је локални администратор.

Типична техника за одузимање права администратора домена изгледа поједностављено као циклус монотоних радњи:

  • Идемо на рачунаре домена где постоје локална администраторска права, на основу већ ухваћених налога домена.
  • Покрећемо Mimikatz и добијамо кеширане лозинке, Kerberos тикете и NTLM хешеве доменских налога који су се недавно пријавили на овај систем. Алтернативно, правимо слику меморије процеса lsass.exe и радимо исто на нашој страни. Ово добро функционише са Windows млађи од 2012R2/Windows 8.1 са подразумеваним подешавањима.
  • Одређујемо где компромитовани налози имају права локалног администратора. Понављамо прву тачку. У некој фази добијамо администраторска права за цео домен.

„Крај циклуса;“, како би овде написали 1Ц програмери.

Дакле, наш корисник се испоставио као локални администратор на само једном хосту са Windows 7, која је у свом називу имала реч „VDI“ или „Инфраструктура виртуелне радне површине“ – личне виртуелне машине. Дизајнер VDI сервиса је вероватно намеравао да, пошто је VDI лични оперативни систем корисника, може да мења софтверско окружење како жели, све док се хост и даље може „поново учитати“. Такође сам мислио да је то генерално добра идеја, па сам се пријавио на овај лични VDI хост и тамо креирао своје гнездо:

  • инсталирао га тамо OpenVPN- клијент који је креирао тунел кроз интернет до мог сервера. Клијент је морао да прође кроз исту ту аутентификацију домена Блу Коат, али OpenVPN Успео сам то, како кажу, „из кутије“.
  • Инсталирао сам OpenSSH на VDI. Стварно, шта је ово, дођавола? Windows 7 без SSH-а?

Овако је то изгледало уживо. Дозволите ми да вас подсетим да све ово мора да се уради преко Цитрик-а и 1Ц:

Једном пентест, или Како све разбити уз помоћ уролога и Роскомнадзора
Једна техника за промовисање приступа суседним рачунарима је провера лозинки локалног администратора да ли се подударају. Овде је срећа одмах чекала: НТЛМ хеш подразумеваног локалног администратора (који је изненада назван Администратор) је пришао путем пасс-тхе-хасх напада на суседне ВДИ хостове, којих је било неколико стотина. Наравно, напад их је одмах погодио.

Овде су ВДИ администратори два пута пуцали себи у ногу:

  • Први пут је било када ВДИ машине нису биле стављене под ЛАПС, у суштини задржавајући исту лозинку локалног администратора са слике која је масовно распоређена на ВДИ.
  • Подразумевани администратор је једини локални налог који је рањив на нападе са хеширањем. Чак и са истом лозинком, било би могуће избећи масовни компромис креирањем другог налога локалног администратора са сложеном насумичном лозинком и блокирањем подразумеване.

Зашто постоји SSH сервис на том? WindowsВеома је једноставно: сада је OpenSSH сервер не само пружао погодну интерактивну командну шкољку без ометања рада корисника, већ и socks5 прокси на VDI-ју. Преко овог socks-а сам се повезао преко SMB-а и прикупио кеширане акредитиве са свих тих стотина VDI машина, а затим претражио BloodHound графиконе за путању до администратора домена. Са стотинама хостова на располагању, прилично брзо сам пронашао такву путању. Права администратора домена су добијена.

Ево слике са интернета која приказује сличну претрагу. Везе показују ко је где је администратор и ко је где пријављен.

Једном пентест, или Како све разбити уз помоћ уролога и Роскомнадзора
Узгред, запамтите услов са почетка пројекта - „не користите друштвени инжењеринг“. Дакле, предлажем да размислимо о томе колико би сав овај Боливуд са специјалним ефектима био одсечен да је још увек могуће користити банални пхисхинг. Али лично ми је било веома интересантно да радим све ово. Надам се да сте уживали читајући ово. Наравно, не изгледа сваки пројекат толико интригантан, али је рад у целини веома изазован и не дозвољава да стагнира.

Неко се можда пита: како могу да се заштитим? Чак и овај чланак описује многе технике, од којих многе покривају администратори. Windows Они чак ни не знају. Међутим, предлажем да их посматрате из перспективе добро познатих принципа и мера безбедности информација:

  • Не користите застарели софтвер (запамтите Windows 2003. на почетку?)
  • не држите непотребне системе укључене (зашто је постојала веб страница уролога?)
  • сами проверите корисничке лозинке (иначе ће војници... пентестери то учинити)
  • немају исте лозинке за различите налоге (ВДИ компромис)
  • и други

Наравно, ово је веома тешко спровести, али у следећем чланку ћемо показати у пракси да је то сасвим могуће.

Извор: ввв.хабр.цом

Купите поуздан хостинг за сајтове са ДДоС заштитом, ВПС ВДС сервере 🔥 Купите поуздан веб хостинг са DDoS заштитом, VPS VDS сервере | ProHoster