Кашњења у потписивању су уобичајена за сваку велику компанију. Уговор између Тома Хунтера и једног ланца продавница кућних љубимаца за темељно пентестирање није био изузетак. Морали смо да проверимо веб локацију, интерну мрежу, па чак и радни Ви-Фи.
Није изненађујуће што су ме руке сврбеле и пре него што су све формалности биле решене. Па, само скенирајте сајт за сваки случај, мало је вероватно да ће тако позната продавница као што је „Тхе Хоунд оф тхе Баскервиллес“ овде погрешити. Неколико дана касније, Тому је коначно испоручен потписани оригинални уговор - у овом тренутку, уз трећу шољу кафе, Том из интерног ЦМС-а са интересовањем је проценио стање магацина...
Извор:
Али није било могуће много управљати у ЦМС-у - администратори сајта су забранили ИП Тома Хунтера. Иако би било могуће имати времена да генеришете бонусе на картици продавнице и да храните своју вољену мачку јефтино много месеци... „Не овај пут, Дартх Сидиоус“, помисли Том уз осмех. Ништа мање занимљиво не би било прећи са веб странице на локалну мрежу корисника, али очигледно ови сегменти нису повезани за клијента. Ипак, то се чешће дешава у веома великим компанијама.
После свих формалности, Том Хунтер се наоружао обезбеђеним ВПН налогом и отишао на локалну мрежу купца. Налог је био унутар домена Ацтиве Дирецтори, тако да је било могуће избацити АД без посебних трикова – одводњавање свих јавно доступних информација о корисницима и радним машинама.
Том је покренуо услужни програм адфинд и почео да шаље ЛДАП захтеве контролору домена. Са филтером класе објецтЦатегори, наводећи особу као атрибут. Одговор је стигао са следећом структуром:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZПоред овога, било је доста корисних информација, али најзанимљивије је било у пољу >опис: >опис. Ово је коментар на налог - у суштини згодно место за чување мањих белешки. Али клијентови администратори су одлучили да и лозинке могу мирно да седе. Кога би, уосталом, могла занимати сва ова безначајна званична евиденција? Дакле, коментари које је Том добио били су:
Создал Администратор, 2018.11.16 7po!*VqnНе морате да будете ракетни научник да бисте разумели зашто је комбинација на крају корисна. Остало је само да се анализира велика датотека одговора са ЦД-а користећи >описно поље: и ево их - 20 парова логин-лозинке. Штавише, скоро половина има права приступа РДП-у. Није лош мостобран, време је за поделу нападачких снага.
mrežno okruženje
Приступачни Хоундс оф тхе Баскервилле баллс подсећали су на велики град у свом хаосу и непредвидивости. Са корисничким и РДП профилима, Том Хантер је био шворц у овом граду, али је и он успео да види много тога кроз блиставе прозоре безбедносне политике.
Делови сервера датотека, рачуноводствених налога, па чак и скрипти повезане са њима, сви су објављени. У подешавањима једне од ових скрипти, Том је пронашао МС СКЛ хеш једног корисника. Мало магије грубе силе - и хеш корисника се претворио у лозинку за обичан текст. Хвала Џону Трбосеку и Хашкату.
Овај кључ би требао стати у сандук. Шкриња је пронађена, а уз њу је повезано још десет „сандука“. А унутар шест су лежала... права суперкорисника, систем ауторитета! На две од њих смо успели да покренемо кп_цмдсхелл ускладиштену процедуру и пошаљемо цмд команде у Виндовс. Шта више можете пожелети?
Контролори домена
Том Хантер је припремио други ударац за контролере домена. У мрежи „Пси Баскервила” било их је три, у складу са бројем географски удаљених сервера. Сваки контролер домена има јавну фасциклу, попут отворене витрине у продавници, крај које виси исти јадни дечак Том.
И овога пута момак је поново имао среће - заборавили су да уклоне скрипту из витрине, где је била тврдо кодирана администраторска лозинка локалног сервера. Дакле, пут до контролера домена је био отворен. Уђи, Том!
Овде је из магичног шешира извучен , који је профитирао од неколико администратора домена. Том Хантер је добио приступ свим машинама на локалној мрежи, а ђавољи смех је уплашио мачку са суседне столице. Овај пут је био краћи од очекиваног.
ЕтерналБлуе
Сећање на ВаннаЦри и Петиа је још увек живо у главама пентестера, али изгледа да су неки администратори заборавили на рансомваре у току других вечерњих вести. Том је открио три чвора са пропустом у СМБ протоколу - ЦВЕ-2017-0144 или ЕтерналБлуе. Ово је иста рањивост која је коришћена за дистрибуцију ВаннаЦри и Петиа рансомваре-а, рањивост која омогућава извршавање произвољног кода на хосту. На једном од рањивих чворова постојала је сесија администратора домена - „искористи и преузми“. Шта да се ради, време није свакога научило.
"Бастервилов пас"
Класици информационе безбедности воле да понављају да је најслабија тачка сваког система особа. Приметите да горњи наслов не одговара називу продавнице? Можда нису сви тако пажљиви.
У најбољим традицијама фишинг блокбастера, Том Хантер је регистровао домен који се за једно слово разликује од домена „Хоундс оф тхе Баскервиллес“. Поштанска адреса на овом домену је имитирала адресу службе за безбедност информација продавнице. Током 4 дана од 16:00 до 17:00, следеће писмо је једнообразно послато на 360 адреса са лажне адресе:
Можда је само њихова лењост спасила запослене од масовног цурења лозинки. Од 360 писама отворено је само 61 – служба безбедности није баш популарна. Али тада је било лакше.
Пецање страница
На линк је кликнуло 46 људи, а скоро половина - 21 запослени - није погледала у траку за адресу и мирно унела своје логин и лозинке. Добар улов, Томе.
Wi-Fi mreža
Сада није требало рачунати на мачку помоћ. Том Хантер је бацио неколико комада гвожђа у своју стару лимузину и отишао у канцеларију Баскервилског пса. Његова посета није договорена: Том је ишао да тестира Ви-Фи корисника. На паркингу пословног центра било је неколико слободних места који су погодно били укључени у периметар циљне мреже. Очигледно, нису много размишљали о његовом ограничењу - као да су администратори насумично убацивали додатне поене као одговор на било какву притужбу на слаб Ви-Фи.
Како функционише ВПА/ВПА2 ПСК безбедност? Шифровање између приступне тачке и клијената обезбеђује кључ пре сесије - Паирвисе Трансиент Кеи (ПТК). ПТК користи Пре-Схаред Кеи и пет других параметара - ССИД, Аутхентицатор Ноунце (АНоунце), Супплицант Ноунце (СНоунце), приступну тачку и МАЦ адресе клијента. Том је пресрео свих пет параметара, а сада је недостајао само унапред дељени кључ.
Услужни програм Хасхцат је преузео ову везу која недостаје за око 50 минута - и наш херој је завршио у мрежи за госте. Из ње сте већ могли да видите радну - зачудо, овде је Том успео са лозинком за око девет минута. И све то без напуштања паркинга, без икаквог ВПН-а. Радна мрежа је нашем хероју отворила простор за монструозне активности, али он... никада није додао бонусе на картицу продавнице.
Том је застао, погледао на сат, бацио пар новчаница на сто и, поздравивши се, изашао из кафића. Можда је опет пентест, или је можда унутра Мислио сам да напишем...
Извор: ввв.хабр.цом