Sakali kana pentest a, atawa Kumaha megatkeun sagalana kalayan bantuan urologist jeung Roskomnadzor

Tulisan ieu ditulis dumasar kana pentest anu suksés pisan anu dilakukeun ku spesialis Grup-IB sababaraha taun ka pengker: aya kajadian anu tiasa diadaptasi pikeun pilem di Bollywood. Ayeuna, sigana, réaksi pamaca bakal kieu: "Oh, artikel PR anu sanés, deui ieu anu digambarkeun, kumaha saé aranjeunna, tong hilap mésér pentest." Nya, di hiji sisi, éta. Nanging, aya sababaraha alesan sanés kunaon tulisan ieu muncul. Kuring hayang némbongkeun naon kahayang pentesters do, kumaha metot sarta non-trivial karya ieu tiasa, naon kaayaan lucu bisa timbul dina proyék, sarta paling importantly, némbongkeun bahan hirup kalawan conto nyata.

Pikeun mulangkeun kasaimbangan kasederhanaan di dunya, saatos sababaraha waktos urang bakal nyerat ngeunaan pentest anu henteu saé. Kami bakal nunjukkeun kumaha prosés anu dirarancang saé dina perusahaan tiasa ngajagi tina sajumlah serangan, bahkan anu siap-siap, ngan kusabab prosés ieu aya sareng leres-leres jalanna.

Pikeun konsumén dina artikel ieu, sagalana oge umumna alus teuing, sahenteuna leuwih hade tinimbang 95% tina pasar di Féderasi Rusia, nurutkeun parasaan urang, tapi aya sababaraha nuansa leutik nu ngawangun ranté panjang kajadian, nu kahiji. ngarah ka laporan panjang dina karya , lajeng ka artikel ieu.

Ku kituna, hayu urang stock nepi popcorn, sarta wilujeng sumping di carita detektif. Kecap- Pavel Suprunyuk, manajer teknis ti departemen "Audit sarta Konsultan" Grup-IB.

Bagian 1. dokter Pochkin

2018 Aya palanggan - perusahaan IT téknologi tinggi, anu nyalira ngalayanan seueur klien. Hayang meunang jawaban kana patarosan: naha éta mungkin, tanpa pangaweruh awal jeung aksés, gawé via Internet, pikeun ménta hak administrator domain Active Directory? Abdi henteu resep kana rékayasa sosial (oh, tapi sia), aranjeunna teu maksudna ngaganggu karya dina Tujuan, tapi maranéhna bisa ngahaja - ngamuat deui hiji server aneh digawé, contona. Tujuan tambahan nyaéta pikeun ngaidentipikasi saloba vektor serangan anu mungkin ngalawan perimeter luar. Perusahaan rutin ngalaksanakeun tés sapertos kitu, sareng ayeuna parantos dugi ka tes énggal. Kaayaanana ampir khas, nyukupan, kaharti. Hayu urang ngamimitian.

Aya nami palanggan - hayu janten "Perusahaan", kalayan halaman wéb utama www.company.ru. Tangtu, konsumén disebut béda, tapi dina artikel ieu sagalana bakal impersonal.
Kuring ngalaksanakeun pangintipan jaringan - panggihan alamat sareng domain anu kadaptar sareng nasabah, ngagambar diagram jaringan, kumaha jasa disebarkeun ka alamat ieu. Kuring meunang hasilna: leuwih ti 4000 alamat IP hirup. Kuring ningali domain dina jaringan ieu: untungna, seuseueurna mangrupikeun jaringan anu dimaksudkeun pikeun klien palanggan, sareng kami henteu kabetot sacara resmi. Palanggan panginten sami.

Tetep aya hiji jaringan sareng 256 alamat, anu ku waktos ayeuna parantos aya pamahaman ngeunaan distribusi domain sareng subdomain ku alamat IP, aya inpormasi ngeunaan palabuhan anu diseken, anu hartosna anjeun tiasa ningali jasa pikeun anu pikaresepeun. Sajajar, sagala jinis scanner diluncurkeun dina alamat IP anu sayogi sareng nyalira dina situs wéb.

Aya seueur jasa. Biasana ieu kabagjaan pikeun pentester sareng antisipasi kameunangan gancang, sabab langkung seueur jasa, langkung ageung lapangan pikeun serangan sareng langkung gampang mendakan artefak. Tinjauan gancang dina situs wéb nunjukkeun yén kalolobaanana mangrupikeun antarmuka wéb produk terkenal perusahaan global anu ageung, anu ku sadayana penampilan nyarioskeun yén aranjeunna henteu wilujeng sumping. Aranjeunna ménta ngaran pamaké sarta sandi, ngocok kaluar widang pikeun ngasupkeun faktor kadua, ménta sertipikat klien TLS, atawa ngirim ka Microsoft ADFS. Sababaraha ngan saukur inaccessible tina Internét. Kanggo sababaraha, anjeun écés kedah gaduh klien anu mayar khusus pikeun tilu gaji atanapi terang URL anu pasti pikeun dilebetkeun. Hayu urang ngantunkeun saminggu deui tina kasangsaraan bertahap dina prosés nyobian "ngaliwatan" versi parangkat lunak pikeun kerentanan anu dipikanyaho, milarian kontén anu disumputkeun dina jalur wéb sareng akun bocor tina jasa pihak katilu sapertos LinkedIn, nyobian nebak kecap konci anu ngagunakeunana, ogé. salaku excavating vulnerabilities dina situs web ditulis sorangan - ku jalan kitu, nurutkeun statistik, ieu vektor paling ngajangjikeun serangan éksternal kiwari. Kuring gé geuwat catetan gun pilem nu salajengna dipecat.

Janten, kami mendakan dua situs anu nangtung tina ratusan jasa. Situs-situs ieu ngagaduhan hiji hal anu umum: upami anjeun henteu kalibet dina pangintipan jaringan anu cermat ku domain, tapi ningali langsung pikeun palabuhan anu kabuka atanapi nargétkeun panyeken kerentanan nganggo rentang IP anu dipikanyaho, maka situs-situs ieu bakal luput tina scanning sareng ngan saukur moal aya. katingali tanpa terang nami DNS. Panginten aranjeunna sono sateuacanna, sahenteuna, sareng alat otomatis kami henteu mendakan masalah sareng aranjeunna, sanaos dikirim langsung ka sumberna.

Ku jalan kitu, ngeunaan naon saméméhna dibuka scanner kapanggih sacara umum. Hayu atuh ngingetkeun anjeun: pikeun sababaraha urang, "pentest" sarua jeung "scan otomatis". Tapi scanner dina proyék ieu ceuk nanaon. Muhun, maksimum ieu ditémbongkeun ku vulnerabilities Medium (3 kaluar tina 5 dina watesan severity): dina sababaraha layanan sertipikat TLS goréng atawa algoritma enkripsi luntur, sarta dina paling situs Clickjacking. Tapi ieu moal mawa anjeun ka tujuan anjeun. Panginten scanner bakal langkung mangpaat di dieu, tapi hayu atuh ngingetkeun anjeun: palanggan nyalira tiasa mésér program sapertos kitu sareng nguji dirina sareng aranjeunna, sareng, ditilik ku hasil anu pikasieuneun, anjeunna parantos dipariksa.

Hayu urang balik deui ka situs "anomali". Kahiji mangrupa hal kawas Wiki lokal dina alamat non-standar, tapi dina artikel ieu hayu eta wiki.company[.]ru. Manehna oge geuwat ménta login sarta sandi, tapi ngaliwatan NTLM dina browser nu. Pikeun pangguna, ieu mangrupikeun jandela ascetic anu naroskeun ngalebetkeun nami pangguna sareng kecap konci. Sareng ieu mangrupikeun prakték anu goréng.

Catetan leutik. NTLM dina situs wéb perimeter goréng kusabab sababaraha alesan. Alesan kahiji nyaéta nami domain Active Directory diungkabkeun. Dina conto urang, éta ogé janten company.ru, sapertos nami DNS "éksternal". Nyaho ieu, anjeun tiasa sacara saksama nyiapkeun anu jahat supados dieksekusi ukur dina mesin domain organisasi, sareng henteu dina sababaraha kotak pasir. Bréh, auténtikasi langsung ngaliwatan controller domain via NTLM (reuwas, katuhu?), Kalayan sagala fitur tina kawijakan jaringan "internal", kaasup blocking rekening ti ngaleuwihan jumlah usaha asupna sandi. Upami panyerang mendakan login, anjeunna bakal nyobian kecap konci pikeun aranjeunna. Upami anjeun ngonpigurasi pikeun meungpeuk akun tina ngalebetkeun kecap konci anu salah, éta bakal tiasa dianggo sareng akunna bakal diblokir. Katilu, mustahil pikeun nambihan faktor kadua kana auténtikasi sapertos kitu. Upami aya anu maca anu masih terang kumaha, punten wartosan kuring, éta leres pisan pikaresepeun. Kaopat, kerentanan kana serangan pass-the-hash. ADFS diciptakeun, antara séjén, pikeun ngajagaan tina sagala ieu.

Aya hiji sipat goréng produk Microsoft: sanajan anjeun teu husus nyebarkeun NTLM misalna, éta bakal dipasang sacara standar di OWA jeung Lync, sahenteuna.

Ku jalan kitu, panulis artikel ieu sakali ngahaja meungpeuk kira 1000 rekening karyawan hiji bank badag dina ngan hiji jam ngagunakeun metoda sarua lajeng kasampak rada bulak. Ladenan IT bank éta ogé bulak, tapi sagalana réngsé ogé sarta adequately, kami malah muji pikeun kahiji kalina manggihan masalah ieu sarta ngangsonan a fix gancang jeung decisive.

Situs kadua ngagaduhan alamat "écés sababaraha jinis nami tukang.company.ru." Kapanggih dina Google, sapertos kieu dina kaca 10. Desainna ti awal pertengahan XNUMX-an, sareng jalma anu terhormat ningali tina halaman utama, sapertos kieu:

Di dieu kuring nyokot kénéh tina "Heart of a Dog", tapi percanten ka abdi, éta vaguely sarupa, malah desain warna éta dina nada sarupa. Hayu situs disebut preobrazhensky.company.ru.

Ieu ramatloka pribadi ... pikeun urologist a. Kuring heran naon anu dilakukeun ku halaman wéb urologist dina subdomain perusahaan téknologi tinggi. Ngagali gancang kana Google nunjukkeun yén dokter ieu mangrupikeun pendiri salah sahiji éntitas hukum palanggan kami sareng bahkan nyumbang sakitar 1000 rubles di ibukota otorisasi. Situs ieu sigana didamel sababaraha taun ka pengker, sareng sumber pangladén palanggan dianggo salaku hosting. Situs parantos lami kaleungitan relevansina, tapi pikeun sababaraha alesan éta ditinggalkeun damel kanggo waktos anu lami.

Dina hal kerentanan, situs wéb éta aman. Ningali payun, kuring bakal nyarios yén éta mangrupikeun set inpormasi statik - halaman html sederhana kalayan ilustrasi diselapkeun dina bentuk ginjal sareng kandung kemih. Henteu aya gunana pikeun "megatkeun" situs sapertos kitu.

Tapi web server underneath éta leuwih metot. Ditilik ku header HTTP Server, éta ngagaduhan IIS 6.0, anu hartosna dianggo Windows 2003 salaku sistem operasi. Scanner saacanna parantos ngaidentipikasi yén halaman wéb urologist khusus ieu, teu sapertos host maya anu sanés dina server wéb anu sami, ngaréspon kana paréntah PROPFIND, hartosna éta ngajalankeun WebDAV. Ku jalan kitu, panyeken ngabalikeun inpormasi ieu kalayan tanda Info (dina basa laporan scanner, ieu mangrupikeun bahaya anu panghandapna) - hal-hal sapertos kitu biasana dilewatan. Dina kombinasi, ieu masihan pangaruh anu pikaresepeun, anu diungkabkeun ngan saatos ngagali anu sanés dina Google: kerentanan panyangga anu jarang dihubungkeun sareng sét Shadow Brokers, nyaéta CVE-2017-7269, anu parantos ngagaduhan garapan anu siap-siap. Kalayan kecap sanésna, bakal aya masalah upami anjeun gaduh Windows 2003 sareng WebDAV dijalankeun dina IIS. Sanaos ngajalankeun Windows 2003 dina produksi taun 2018 mangrupikeun masalah nyalira.

Eksploitasi éta réngsé dina Metasploit sareng langsung diuji kalayan beban anu ngirim pamundut DNS ka layanan anu dikontrol - Burp Collaborator sacara tradisional dianggo pikeun nyekel pamundut DNS. Pikeun reuwas kuring, éta digawé pikeun kahiji kalina: knockout DNS ditampi. Salajengna, aya usaha pikeun nyieun backconnect via port 80 (nyaéta, sambungan jaringan tina server ka panyerang, kalawan aksés ka cmd.exe dina host korban), tapi lajeng a fiasco a. sambungan nu teu datang ngaliwatan, sarta sanggeus usaha katilu ngagunakeun loka, babarengan jeung sakabeh gambar metot, ngiles salawasna.

Biasana ieu dituturkeun ku hurup dina gaya "palanggan, hudang, urang lungsur sadayana." Tapi kami dibéjakeun yén situs éta henteu aya hubunganana sareng prosés bisnis sareng jalanna henteu aya alesan pisan, sapertos sadayana server, sareng yén urang tiasa nganggo sumberdaya ieu sakumaha anu dipikahoyong.
Sakitar dinten saatos situs éta ujug-ujug ngamimitian damel nyalira. Saanggeus diwangun bangku tina WebDAV on Iis 6.0, Kuring manggihan yén setélan standar pikeun ngabalikan deui prosés worker IIS unggal 30 jam. Nyaéta, nalika kontrol kaluar tina shellcode, prosés pagawé IIS réngsé, teras restarted sorangan sababaraha kali teras istirahat salami 30 jam.

Kusabab backconnect mun tcp gagal kahiji kalina, Kuring attributed masalah ieu ka port katutup. Nyaéta, anjeunna nganggap ayana sababaraha jinis firewall anu henteu ngijinkeun sambungan kaluar ka luar. Kuring mimiti ngajalankeun shellcodes nu searched ngaliwatan loba tcp na udp palabuhan, euweuh pangaruh. beban sambungan sabalikna via http (s) ti Metasploit teu jalan - meterpreter/reverse_http(s). Ujug-ujug, sambungan ka port sarua 80 ngadegkeun, tapi geuwat turun. Kuring attributed ieu Peta masih IPS imajinér, nu teu resep lalulintas meterpreter. Dina lampu tina kanyataan yén sambungan tcp murni ka port 80 teu ngaliwat, tapi sambungan http, Kuring menyimpulkan yén hiji proxy http ieu kumaha bae ngonpigurasi dina sistem.

Kuring malah diusahakeun meterpreter via DNS (hatur nuhun d00kieu pikeun usaha anjeun, disimpen loba proyék), recalling kasuksésan pisan munggaran, tapi malah teu dianggo dina stand - shellcode teuing voluminous pikeun kerentanan ieu.

Kanyataanana katingalina kieu: 3-4 usaha dina serangan dina 5 menit, teras ngantosan 30 jam. Jeung saterusna salila tilu minggu dina urutan. Kuring malah nyetel panginget ambéh teu runtah waktu. Salaku tambahan, aya bédana dina paripolah tés sareng lingkungan produksi: pikeun kerentanan ieu aya dua garapan anu sami, hiji ti Metasploit, anu kadua ti Internét, dirobih tina versi Shadow Brokers. Janten, ngan Metasploit anu diuji dina tempur, sareng ngan anu kadua diuji dina bangku, anu ngajantenkeun debugging langkung hese sareng ngarusak otak.

Tungtungna, shellcode anu diunduh file exe tina server anu dipasihkeun via http sareng diluncurkeun dina sistem target kabuktian efektif. shellcode ieu cukup leutik pikeun nyocogkeun, tapi sahenteuna eta digawé. Kusabab server teu resep lalulintas TCP pisan jeung http (s) ieu inspected pikeun ayana meterpreter, Kuring mutuskeun yén jalan panggancangna nyaéta ngundeur file exe nu ngandung DNS-meterpreter ngaliwatan shellcode ieu.

Di dieu deui timbul masalah: nalika ngunduh file exe sareng, sakumaha anu ditunjukkeun ku usaha, henteu masalah anu mana, undeuran diganggu. Deui, sababaraha alat kaamanan antara server kuring jeung urologist nu teu resep lalulintas http kalawan exe jero. Solusi "gancang" sigana ngarobih shellcode supados ngabingungkeun lalu lintas http dina laleur, supados data binér abstrak ditransfer tibatan exe. Tungtungna, serangan éta suksés, kontrol ditampi ngaliwatan saluran DNS ipis:

Langsung janten jelas yén kuring boga hak workflow IIS paling dasar, nu ngidinan kuring ngalakukeun nanaon. Ieu sapertos dina konsol Metasploit:

Sadaya metodologi pentest nyarankeun pisan yén anjeun kedah ningkatkeun hak nalika kéngingkeun aksés. Kuring biasana henteu ngalakukeun ieu sacara lokal, saprak aksés anu pangheulana katingalina ngan ukur salaku titik éntri jaringan, sareng kompromi mesin anu sanés dina jaringan anu sami biasana langkung gampang sareng gancang tibatan naékkeun hak istimewa dina host anu tos aya. Tapi ieu sanés masalahna di dieu, sabab saluran DNS sempit pisan sareng éta moal ngijinkeun lalu lintas.

Anggap yén ieu Windows 2003 server teu acan repaired pikeun kerentanan MS17-010 kawentar, Kuring torowongan lalulintas ka port 445 / TCP ngaliwatan torowongan DNS meterpreter on localhost (enya, ieu oge mungkin) jeung nyoba ngajalankeun exe diundeur saméméhna ngaliwatan. kerentanan éta. Serangan jalan, abdi nampi sambungan kadua, tapi kalawan hak SYSTEM.

Éta metot yén maranéhna masih diusahakeun ngajaga server ti MS17-010 - eta miboga jasa jaringan rentan ditumpurkeun dina panganteur éksternal. Ieu ngajaga ngalawan serangan ngaliwatan jaringan, tapi serangan ti jero on localhost digawé, sabab anjeun teu bisa ngan gancang mareuman SMB on localhost.

Salajengna, detil menarik anyar diungkabkeun:

1. Mibanda hak SYSTEM, anjeun bisa kalayan gampang nyieun backconnection via TCP. Jelas, nganonaktipkeun TCP langsung mangrupikeun masalah pikeun pangguna IIS terbatas. Spoiler: lalulintas pamaké Iis ieu kumaha bae dibungkus dina ISA Proxy lokal dina duanana arah. Kumaha kahayang gawéna, Kuring geus teu dihasilkeun.
2. Abdi dina "DMZ" anu tangtu (sareng ieu sanés domain Active Directory, tapi WORKGROUP) - disada logis. Tapi tinimbang alamat IP swasta ("abu") anu dipiharep, kuring gaduh alamat IP lengkep "bodas", sami sareng anu diserang ku kuring sateuacana. Ieu ngandung harti yén parusahaan geus jadi heubeul di dunya IPv4 alamat nu eta can mampuh ngajaga zona DMZ pikeun 128 "bodas" alamat tanpa NAT nurutkeun skéma nu, sakumaha digambarkeun dina manual Cisco ti 2005.

Kusabab serverna lami, Mimikatz dijamin tiasa dianggo langsung tina mémori:

Kuring meunang sandi administrator lokal, torowongan lalulintas RDP leuwih TCP tur asup kana desktop cozy. Kusabab kuring bisa ngalakukeun naon Abdi hoyong kalawan server, Kuring dipiceun antipirus sarta manggihan yén server éta bisa diasupan ti Internet ukur via palabuhan TCP 80 jeung 443, jeung 443 teu sibuk. Kuring nyetél server OpenVPN dina 443, tambahkeun fungsi NAT pikeun lalu lintas VPN kuring sareng kéngingkeun aksés langsung kana jaringan DMZ dina bentuk anu henteu terbatas ngalangkungan OpenVPN kuring. Éta noteworthy yén ISA, ngabogaan sababaraha fungsi IPS non-ditumpurkeun, diblokir lalulintas kuring jeung port scanning, nu eta kudu diganti ku RRAS basajan tur leuwih patuh. Jadi pentesters kadang masih kudu administer sagala sorts hal.

Pamaca anu ati-ati bakal naroskeun: "Kumaha upami situs kadua - wiki kalayan auténtikasi NTLM, anu seueur anu ditulis?" Langkung lengkep ihwal ieu engké.

Bagian 2. Masih teu encrypting? Lajeng kami datang ka anjeun geus didieu

Janten, aya aksés kana ruas jaringan DMZ. Anjeun kedah angkat ka administrator domain. Hal kahiji anu aya dina pikiran nyaéta mariksa sacara otomatis kaamanan jasa dina bagéan DMZ, khususna sabab seueur deui anu ayeuna dibuka pikeun panalungtikan. Gambar khas nalika uji penetrasi: perimeter éksternal langkung saé dijagi tibatan jasa internal, sareng nalika kéngingkeun aksés di jero infrastruktur ageung, langkung gampang pikeun kéngingkeun hak tambahan dina domain ngan kusabab kanyataan yén domain ieu mimiti janten. diaksés ku parabot, jeung Bréh, Dina infrastruktur kalawan sababaraha sarébu host, bakal salawasna aya sababaraha masalah kritis.

Kuring ngecas scanner via DMZ via torowongan OpenVPN sareng ngantosan. Kuring muka laporan - deui euweuh serius, tétéla batur indit ngaliwatan métode anu sarua saméméh kuring. Lengkah saterusna nyaéta mariksa kumaha host dina jaringan DMZ komunikasi. Jang ngalampahkeun ieu, mimiti ngajalankeun Wireshark biasa jeung ngadangukeun requests siaran, utamana ARP. pakét ARP dikumpulkeun sapopoe. Tétéla sababaraha gateway dipaké dina bagéan ieu. Ieu bakal mangpaat engké. Ku ngagabungkeun data dina requests ARP jeung réspon jeung data scanning port, kuring manggihan titik kaluar lalulintas pamaké ti jero jaringan lokal salian ti jasa nu saméméhna dipikawanoh, kayaning web na mail.

Kusabab ayeuna kuring henteu ngagaduhan aksés kana sistem anu sanés sareng henteu gaduh akun tunggal pikeun jasa perusahaan, éta mutuskeun pikeun nyicingan sahenteuna sababaraha akun tina lalu lintas nganggo ARP Spoofing.

Cain&Abel diluncurkeun dina server urologist. Nganggap aliran lalu lintas anu diidentipikasi, pasangan anu paling ngajangjikeun pikeun serangan man-in-the-middle dipilih, teras sababaraha lalu lintas jaringan ditampi ku peluncuran jangka pondok salami 5-10 menit, kalayan waktos pikeun reboot server. bisi katirisan. Saperti dina lulucon, aya dua warta:

1. Alus: seueur kredensial anu katangkep sareng serangan sacara gembleng jalan.
2. Nu goréng: kabéh Kapercayaan éta ti klien customer urang sorangan. Nalika nyayogikeun jasa dukungan, spesialis palanggan nyambung ka jasa klien anu henteu salawasna ngonpigurasi enkripsi lalu lintas.

Hasilna, kuring kaala loba Kapercayaan anu gunana dina konteks proyék, tapi pasti metot salaku démo ngeunaan bahaya serangan. Border routers pausahaan badag kalayan telnet, diteruskeun debug palabuhan http ka CRM internal kalayan sagala data, wasa langsung ka RDP tina Windows XP dina jaringan lokal sarta obscurantism séjén. Tétéla kawas kieu Kompromi Ranté Pasokan nurutkeun matriks MITRE.

Kuring ogé kapanggih kasempetan lucu pikeun ngumpulkeun surat ti lalulintas, hal kawas ieu. Ieu conto surat siap-dijieun nu indit ti customer urang ka port SMTP klien-Na, deui, tanpa enkripsi. A Andrey tangtu naroskeun namina pikeun ngirim ulang dokuméntasi, sareng diunggah kana disk awan kalayan login, kecap akses sareng tautan dina hiji hurup réspon:

Ieu mangrupikeun panginget anu sanés pikeun énkripsi sadaya jasa. Henteu dipikanyaho saha sareng iraha bakal maca sareng ngagunakeun data anjeun sacara khusus - panyadia, administrator sistem perusahaan sanés, atanapi pentester sapertos kitu. Kuring cicingeun ngeunaan kanyataan yén seueur jalma ngan saukur tiasa nyegat lalu lintas anu teu énkripsi.

Sanajan kasuksésan katempo, ieu teu mawa urang ngadeukeutan ka gawang. Ieu mungkin, tangtosna, diuk pikeun lila jeung lauk kaluar informasi berharga, tapi teu kanyataan yén éta bakal muncul di dinya, sarta serangan sorangan pisan picilakaeun dina watesan integritas jaringan.

Saatos ngagali deui jasa, ide anu pikaresepeun sumping ka pikiran. Aya utilitas sapertos anu disebut Responder (gampang mendakan conto pamakean ku nami ieu), anu, ku "karacunan" paménta siaran, nyababkeun sambungan ngaliwatan sababaraha protokol sapertos SMB, HTTP, LDAP, jsb. dina cara anu béda, teras naroskeun ka sadayana anu nyambungkeun pikeun ngabuktoskeun sareng nyetél éta supados auténtikasi lumangsung via NTLM sareng dina modeu transparan pikeun korban. Seringna, panyerang ngumpulkeun sasalaman NetNTLMv2 ku cara ieu sareng ti aranjeunna, nganggo kamus, gancang pulih kecap akses domain pangguna. Di dieu kuring hayang hal sarupa, tapi pamaké diuk "tukangeun témbok a", atawa rada, aranjeunna dipisahkeun ku firewall a, sarta diaksés WEB ngaliwatan klaster proxy Blue Lambang.

Inget, kuring dieusian yén ngaran domain Active Directory coincided jeung domain "éksternal", nyaeta, éta company.ru? Janten, Windows, langkung tepatna Internet Explorer (sareng Edge sareng Chrome), ngamungkinkeun pangguna pikeun ngaoténtikasi sacara transparan dina HTTP via NTLM upami aranjeunna nganggap yén situs éta aya dina sababaraha "Zona Intranet". Salah sahiji tanda "Intranet" nyaéta aksés ka alamat IP "abu" atanapi nami DNS pondok, nyaéta, tanpa titik. Kusabab aranjeunna ngagaduhan server kalayan IP "bodas" sareng nami DNS preobrazhensky.company.ru, sareng mesin domain biasana nampi sufiks domain Active Directory via DHCP pikeun éntri nami saderhana, aranjeunna ngan ukur kedah nyerat URL dina bar alamat. preobrazhensky, ambéh maranéhanana manggihan jalur katuhu ka server urologist compromised urang, teu forgetting yén ieu ayeuna disebut "Intranet". Hartina, dina waktos anu sareng masihan kuring pamaké NTLM-salaman tanpa pangaweruh na. Sadaya anu tetep nyaéta maksa panyungsi klien pikeun mikir ngeunaan kabutuhan anu penting pikeun ngahubungi server ieu.

Utilitas Intercepter-NG anu saé sumping pikeun nyalametkeun (hatur nuhun Interceptor). Eta ngidinan Anjeun pikeun ngarobah lalulintas dina laleur jeung digawé hébat dina Windows 2003. Malah miboga pungsi misah pikeun ngaropéa ngan file JavaScript dina aliran lalulintas. A nurun masif Cross-Site Scripting ieu rencanana.

Proksi Blue Coat, dimana pamaké ngakses WEB global, périodik sindangan eusi statik. Ku intercepting lalulintas, éta jelas yén maranéhna digawé sabudeureun jam, endlessly requesting statik remen dipaké pikeun nyepetkeun tampilan eusi salila jam puncak. Sajaba ti éta, BlueCoat miboga pamaké-Agen husus, nu jelas ngabedakeun eta ti pamaké nyata.

Javascript ieu disiapkeun, nu, ngagunakeun Intercepter-NG, dilaksanakeun pikeun sajam peuting dina unggal respon kalayan file JS pikeun Blue Coat. Skrip ngalakukeun ieu:

• Ditangtukeun browser ayeuna ku pamaké-Agen. Upami éta Internet Explorer, Edge atanapi Chrome, éta teras tiasa dianggo.
• Kuring ngantosan dugi ka DOM halaman kabentuk.
• Diselapkeun hiji gambar halimunan kana DOM kalawan atribut src tina formulir preobrazhensky: 8080/NNNNNNN.png, dimana NNN mangrupakeun angka sawenang ambéh BlueCoat teu cache eta.
• Setel variabel bandéra global pikeun nunjukkeun yén suntikan parantos réngsé sareng henteu kedah nyelapkeun gambar deui.

Browser nyobian ngamuat gambar ieu; dina port 8080 tina server anu dikompromi, torowongan TCP ngantosan kana laptop kuring, dimana Responder anu sami dijalankeun, ngabutuhkeun browser pikeun log in via NTLM.

Ditilik ku log Responder, jalma sumping ka dianggo isuk-isuk, dihurungkeun workstations maranéhanana, lajeng en masse na unnoticed mimiti ngadatangan server urologist urang, teu forgetting ka "solokan" sasalaman NTLM. Sasalaman hujan turun sapopoe jeung jelas akumulasi bahan pikeun serangan écés suksés cageur kecap akses. Ieu sapertos log Responder:

Massa kunjungan rusiah ka server urologist ku pamaké

Anjeun panginten parantos perhatoskeun yén sadayana carita ieu diwangun dina prinsip "sadayana saé, tapi teras aya bummer, teras aya anu ngatasi, teras sadayana suksés." Ku kituna, aya bummer di dieu. Tina lima puluh sasalaman anu unik, teu aya hiji anu diungkabkeun. Sareng ieu tumut kana kanyataan yén sanajan dina laptop sareng prosesor maot, sasalaman NTLMv2 ieu diolah dina laju sababaraha ratus juta usaha per detik.

Kuring kungsi panangan sorangan kalawan téhnik mutasi sandi, kartu vidéo, kamus kandel tur antosan. Saatos waktos anu lami, sababaraha akun anu nganggo kecap akses tina bentuk "Q11111111....1111111q" diungkabkeun, anu nunjukkeun yén sadaya pangguna sakali-kali kapaksa ngadamel kecap konci anu panjang kalayan kasus karakter anu béda, anu ogé sakuduna dituju. jadi kompléks. Tapi anjeun teu bisa fool a pamaké seasoned, sarta ieu kumaha anjeunna dijieun leuwih gampang pikeun nginget dirina. Dina total, kira-kira 5 akun dikompromi, sareng ngan ukur salah sahiji anu ngagaduhan hak anu berharga pikeun jasa éta.

Bagian 3. Roskomnadzor nyerang deui

Janten, akun domain anu munggaran ditampi. Upami anjeun teu acan bobo ku titik ieu tina bacaan anu panjang, anjeun panginten bakal émut yén kuring nyarioskeun jasa anu henteu meryogikeun faktor kadua auténtikasi: éta wiki kalayan auténtikasi NTLM. Tangtosna, hal anu munggaran dilakukeun nyaéta lebet ka dinya. Digging kana dasar pangaweruh internal gancang mawa hasil:

• Perusahaan ngagaduhan jaringan WiFi sareng auténtikasi nganggo akun domain kalayan aksés ka jaringan lokal. Kalayan set data ayeuna, ieu mangrupikeun vektor serangan anu tiasa dianggo, tapi anjeun kedah angkat ka kantor nganggo suku anjeun sareng tempatna di daérah kantor palanggan.
• Kuring manggihan hiji parentah numutkeun nu aya layanan nu diwenangkeun ... pikeun mandiri ngadaptar "faktor kadua" alat auténtikasi lamun pamaké aya di jero jaringan lokal sarta confidently apal login domain na sandi. Dina hal ieu, "di jero" sareng "di luar" ditangtukeun ku aksés aksés palabuhan jasa ieu ka pangguna. Pelabuhan éta henteu tiasa diaksés tina Internét, tapi cukup diaksés ngalangkungan DMZ.

Tangtosna, hiji "faktor kadua" ieu langsung ditambahkeun kana akun compromised dina bentuk aplikasi dina telepon abdi. Aya program anu bisa boh loudly ngirim pamundut push ka telepon kalayan "approve" / "disapprove" tombol pikeun aksi, atawa cicingeun némbongkeun kode OTP dina layar pikeun éntri bebas salajengna. Leuwih ti éta, métode kahiji sakuduna dituju ku parentah nu hijina bener, tapi teu jalan, kawas metoda OTP.

Kalayan "faktor kadua" rusak, kuring tiasa ngaksés mail Outlook Web Access sareng aksés jauh di Citrix Netscaler Gateway. Aya kejutan dina surat dina Outlook:

Dina shot langka ieu anjeun bisa nempo kumaha Roskomnadzor mantuan pentesters

Ieu mangrupikeun bulan-bulan munggaran saatos "kipas" anu kasohor ngahalangan Telegram, nalika sadaya jaringan sareng rébuan alamat teu dileungitkeun tina aksés. Janten jelas naha dorongan éta henteu langsung damel sareng naha "korban" kuring henteu disada alarem kusabab aranjeunna mimiti nganggo akunna salami jam buka.

Saha waé anu akrab sareng Citrix Netscaler ngabayangkeun yén éta biasana dilaksanakeun ku cara anu ngan ukur antarmuka gambar anu tiasa ditepikeun ka pangguna, nyobian henteu masihan anjeunna alat pikeun ngaluncurkeun aplikasi pihak katilu sareng nransfer data, ngabatesan dina sagala cara anu mungkin. ngaliwatan cangkang kontrol baku. "Korban" kuring, kusabab padamelan na, ngan ukur 1C:

Sanggeus leumpang sabudeureun panganteur 1C saeutik, Kuring manggihan yén aya modul processing éksternal aya. Éta bisa dimuat ti panganteur, sarta aranjeunna bakal dieksekusi dina klien atawa server, gumantung kana hak sareng setelan.

Kuring nanya ka babaturan programmer 1C kuring nyieun processing nu bakal nampa string sarta ngaéksekusi eta. Dina basa 1C, ngamimitian prosés sapertos kieu (dicokot tina Internét). Naha anjeun satuju yén sintaksis basa 1C ngaguman jalma-jalma anu nyarios Rusia kalayan spontanitasna?

Pamrosésan dieksekusi sampurna; tétéla anu disebut pentesters "cangkang" - Internet Explorer diluncurkeun ngaliwatan éta.

Sateuacanna, alamat sistem anu ngamungkinkeun anjeun mesen pas ka daérah éta kapanggih dina surat. Kuring maréntahkeun pass a bisi kuring kungsi ngagunakeun vektor serangan WiFi.

Aya omongan dina Internét yén aya kénéh nikmat katering bébas di kantor customer urang, tapi kuring masih resep ngamekarkeun serangan jarak jauh, éta calmer.

AppLocker diaktipkeun dina server aplikasi ngajalankeun Citrix, tapi ieu bypassed. The Meterpreter sarua dimuat tur dibuka via DNS, saprak http (s) versi teu hayang nyambung, sarta kuring henteu weruh alamat proxy internal dina waktos anu sareng. Ku jalan kitu, ti momen ieu, pentest éksternal dasarna sagemblengna robah jadi hiji internal.

Bagian 4. Hak Admin pikeun pamaké anu goréng, oke?

Tugas munggaran pentester nalika meunang kadali sési pangguna domain nyaéta pikeun ngumpulkeun sadaya inpormasi ngeunaan hak dina domain. Aya utilitas BloodHound anu otomatis ngamungkinkeun anjeun pikeun ngaunduh inpormasi ngeunaan pangguna, komputer, grup kaamanan ngalangkungan protokol LDAP tina kontroler domain, sareng ngalangkungan SMB - inpormasi ngeunaan pangguna anu nembe lebet dimana sareng saha administrator lokal.

Téhnik khas pikeun ngarebut hak administrator domain sigana disederhanakeun salaku siklus tindakan anu monoton:

• Urang buka komputer domain dimana aya hak administrator lokal, dumasar kana rekening domain geus direbut.
• Urang ngajalankeun Mimikatz tur meunangkeun kecap akses sindangan, tiket Kerberos jeung hashes NTLM tina akun domain nu nembe asup kana sistem ieu. Atanapi urang nyabut gambar mémori tina prosés lsass.exe sareng lakonan hal anu sami di sisi urang. Ieu jalan ogé kalawan Windows ngora ti 2012R2 / Windows 8.1 kalawan setélan standar.
• Kami nangtukeun dimana akun anu dikompromi gaduh hak administrator lokal. Urang ulang titik kahiji. Dina sababaraha tahapan urang meunang hak administrator pikeun sakabéh domain.

"Ahir Daur;", sakumaha 1C programer bakal nulis di dieu.

Janten, pangguna urang janten administrator lokal dina ngan hiji host sareng Windows 7, nami anu kalebet kecap "VDI", atanapi "Infrastruktur Desktop Virtual", mesin virtual pribadi. Panginten, desainer jasa VDI hartosna yén saprak VDI mangrupikeun sistem operasi pribadi pangguna, sanaos pangguna ngarobih lingkungan parangkat lunak sakumaha anu dipikahoyong, host masih tiasa "dimuat deui". Kuring ogé ngira yén sacara umum ideu saé, kuring angkat ka host VDI pribadi ieu sareng ngadamel sayang di dinya:

• Kuring masang klien OpenVPN di dinya, anu ngadamel torowongan ngalangkungan Internét ka server kuring. Klién kedah dipaksa ngalangkungan Blue Coat anu sami sareng auténtikasi domain, tapi OpenVPN ngalakukeun éta, sakumaha anu aranjeunna nyarios, "out of the box."
• Dipasang OpenSSH dina VDI. Nya, saleresna, naon Windows 7 tanpa SSH?

Ieu naon éta kasampak kawas live. Hayu atuh ngingetan yén sadaya ieu kedah dilakukeun ngaliwatan Citrix sareng 1C:

Salah sahiji téknik pikeun ngamajukeun aksés ka komputer tatangga nyaéta mariksa kecap akses administrator lokal pikeun pertandingan. Di dieu tuah langsung ditunggu: hash NTLM tina administrator lokal standar (anu ujug-ujug disebut Administrator) ieu ditilik ngaliwatan serangan pass-the-hash ka host VDI tatangga, nu aya sababaraha ratus. Tangtu, serangan langsung pencét aranjeunna.

Ieu dimana pangurus VDI nembak diri dua kali:

• Kahiji kalina nyaéta nalika mesin VDI teu dibawa dina LAPS, dasarna nahan sandi administrator lokal sami tina gambar nu ieu massively deployed ka VDI.
• Administrator standar mangrupikeun hiji-hijina akun lokal anu rentan ka serangan pass-the-hash. Sanaos kecap konci anu sami, éta bakal tiasa ngahindarkeun kompromi massal ku nyiptakeun akun administrator lokal kadua kalayan kecap konci acak anu kompleks sareng ngahalangan anu standar.

Naha aya layanan SSH dina Windows éta? Saderhana pisan: ayeuna server OpenSSH henteu ngan ukur nyayogikeun cangkang paréntah interaktif anu gampang tanpa ngaganggu padamelan pangguna, tapi ogé proxy socks5 dina VDI. Ngaliwatan kaos kaki ieu, kuring nyambung via SMB sarta ngumpulkeun rekening sindangan tina sagala ratusan mesin VDI ieu, lajeng pilari jalur ka administrator domain ngagunakeun eta dina grafik BloodHound. Kalayan ratusan host dina pembuangan kuring, kuring mendakan cara ieu gancang pisan. Hak administrator domain geus diala.

Ieu mangrupikeun gambar tina Internét anu nunjukkeun panéangan anu sami. Sambungan nunjukkeun saha dimana pangurus sareng saha anu asup dimana.

Ku jalan kitu, émut kaayaan ti mimiti proyék - "ulah nganggo rékayasa sosial." Janten, kuring ngajukeun pikeun mikirkeun sabaraha sadayana Bollywood ieu sareng épék khusus bakal dipotong upami éta masih tiasa nganggo phishing banal. Tapi sacara pribadi, éta pisan pikaresepeun pikeun kuring pikeun ngalakukeun ieu. Kuring miharep anjeun ngarasakeun maca ieu. Tangtu, teu unggal proyék kasampak jadi intriguing, tapi karya sakabéhna pisan nangtang jeung teu ngidinan ka stagnate.

Panginten batur bakal naroskeun patarosan: kumaha ngajagaan diri? Malahan tulisan ieu ngajelaskeun seueur téknik, seueur anu ku pangurus Windows henteu terang. Nanging, kuring nyarankeun ningali aranjeunna tina sudut pandang prinsip hackneyed sareng ukuran kaamanan inpormasi:

• entong nganggo parangkat lunak anu luntur (inget Windows 2003 dina awalna?)
• ulah ngantepkeun sistem anu teu perlu dihurungkeun (naha aya halaman wéb urologist?)
• pariksa sandi pamaké pikeun kakuatan diri (lain prajurit ... pentesters bakal ngalakukeun ieu)
• teu gaduh kecap akses anu sami pikeun akun anu béda (kompromi VDI)
• jeung lianna

Tangtu, ieu téh hésé pisan pikeun nerapkeun, tapi dina artikel salajengna urang bakal némbongkeun dina prakna yén éta téh rada mungkin.

sumber: www.habr.com