Nakala hii iliandikwa kulingana na pentest iliyofanikiwa sana ambayo wataalamu wa Kundi-IB walifanya miaka michache iliyopita: hadithi ilitokea ambayo inaweza kubadilishwa kwa filamu katika Bollywood. Sasa, pengine, itikio la msomaji litafuata: βLo, makala nyingine ya PR, tena hizi zinaonyeshwa, jinsi zilivyo nzuri, usisahau kununua pentest.β Naam, kwa upande mmoja, ni. Walakini, kuna sababu zingine kadhaa kwa nini nakala hii ilionekana. Nilitaka kuonyesha ni nini hasa wapentesta hufanya, jinsi kazi hii inaweza kuwa ya kuvutia na isiyo ya kawaida, ni hali gani za kuchekesha zinaweza kutokea katika miradi, na muhimu zaidi, onyesha nyenzo za moja kwa moja na mifano halisi.
Ili kurejesha usawa wa unyenyekevu duniani, baada ya muda tutaandika kuhusu pentest ambayo haikuenda vizuri. Tutaonyesha jinsi michakato iliyoundwa vizuri katika kampuni inaweza kulinda dhidi ya aina mbalimbali za mashambulizi, hata yale yaliyotayarishwa vyema, kwa sababu tu michakato hii ipo na inafanya kazi kweli.
Kwa mteja katika kifungu hiki, kila kitu pia kwa ujumla kilikuwa bora, angalau bora kuliko 95% ya soko katika Shirikisho la Urusi, kulingana na hisia zetu, lakini kulikuwa na idadi ndogo ya nuances ambayo iliunda mlolongo mrefu wa matukio, ambayo kwanza. imesababisha ripoti ndefu juu ya kazi, na kisha kwa makala hii.
Kwa hivyo, wacha tuhifadhi popcorn, na karibu kwenye hadithi ya upelelezi. Neno - Pavel Suprunyuk, meneja wa kiufundi wa idara ya "Ukaguzi na Ushauri" ya Kundi-IB.
Sehemu ya 1. Daktari wa Pochkin
2018 Kuna mteja - kampuni ya teknolojia ya juu ya IT, ambayo yenyewe hutumikia wateja wengi. Je! Unataka kupata jibu la swali: inawezekana kupata haki za msimamizi wa kikoa cha Active Directory bila ujuzi wowote wa awali na ufikiaji wakati unafanya kazi kupitia Mtandao? Sipendezwi na uhandisi wowote wa kijamii (), hawana nia ya kuingilia kazi kwa makusudi, lakini wanaweza kwa ajali - kupakia tena seva ya kazi ya ajabu, kwa mfano. Lengo la ziada ni kutambua vekta nyingine nyingi iwezekanavyo dhidi ya eneo la nje. Kampuni mara kwa mara hufanya vipimo hivyo, na sasa tarehe ya mwisho ya mtihani mpya imefika. Masharti ni karibu ya kawaida, ya kutosha, yanaeleweka. Tuanze.
Kuna jina la mteja - iwe "Kampuni", na tovuti kuu . Bila shaka, mteja anaitwa tofauti, lakini katika makala hii kila kitu kitakuwa cha kibinafsi.
Ninafanya uchunguzi wa mtandao - gundua ni anwani na vikoa gani vimesajiliwa na mteja, chora mchoro wa mtandao, jinsi huduma zinasambazwa kwa anwani hizi. Ninapata matokeo: zaidi ya anwani 4000 za IP za moja kwa moja. Ninaangalia vikoa katika mitandao hii: kwa bahati nzuri, nyingi ni mitandao iliyokusudiwa kwa wateja wa mteja, na hatuvutiwi nayo rasmi. Mteja anafikiria vivyo hivyo.
Inabaki mtandao mmoja ulio na anwani 256, ambayo kwa wakati huu tayari kuna uelewa wa usambazaji wa vikoa na vikoa na anwani za IP, kuna habari kuhusu bandari zilizochanganuliwa, ambayo inamaanisha unaweza kuangalia huduma kwa zile zinazovutia. Sambamba, kila aina ya skana huzinduliwa kwenye anwani za IP zinazopatikana na kando kwenye tovuti.
Kuna huduma nyingi. Kawaida hii ni furaha kwa pentester na kutarajia ushindi wa haraka, kwa kuwa huduma zaidi kuna, uwanja mkubwa wa mashambulizi na ni rahisi kupata artifact. Mtazamo wa haraka kwenye tovuti ulionyesha kuwa wengi wao ni miingiliano ya wavuti ya bidhaa zinazojulikana za makampuni makubwa ya kimataifa, ambayo kwa kuonekana yote yanakuambia kuwa hawakaribishwi. Wanauliza jina la mtumiaji na nenosiri, wanatikisa sehemu ya kuingiza kipengele cha pili, wanauliza cheti cha mteja wa TLS, au kutuma kwa Microsoft ADFS. Baadhi hazipatikani kwa urahisi kutoka kwa Mtandao. Kwa baadhi, ni wazi unahitaji kuwa na mteja maalum anayelipwa kwa mishahara mitatu au kujua URL halisi ya kuingia. Hebu turuke wiki nyingine ya kukata tamaa taratibu katika mchakato wa kujaribu "kupitia" matoleo ya programu kwa udhaifu unaojulikana, kutafuta maudhui yaliyofichwa kwenye njia za wavuti na akaunti zilizovuja kutoka kwa huduma za watu wengine kama vile LinkedIn, kujaribu kukisia manenosiri kwa kuzitumia, pia. kama kuchimba udhaifu katika tovuti zilizojiandikia - kwa njia, kulingana na takwimu, hii ndiyo vekta ya kuahidi zaidi ya mashambulizi ya nje leo. Mara moja nitagundua bunduki ya sinema ambayo ilifyatua baadaye.
Kwa hiyo, tulipata tovuti mbili ambazo zilisimama kutoka kwa mamia ya huduma. Tovuti hizi zilikuwa na kitu kimoja zinazofanana: ikiwa hujihusishi na uchunguzi wa kina wa mtandao kwa kikoa, lakini angalia ana kwa ana kwa bandari zilizo wazi au unalenga kichanganuzi cha hatari kwa kutumia anuwai ya IP inayojulikana, basi tovuti hizi zitaepuka kuchunguzwa na hazitatatuliwa. inayoonekana bila kujua jina la DNS. Labda walikosa mapema, angalau, na zana zetu otomatiki hazikupata shida nao, hata ikiwa zilitumwa moja kwa moja kwa rasilimali.
Kwa njia, kuhusu kile kilichozinduliwa hapo awali scanners kupatikana kwa ujumla. Acha nikukumbushe: kwa watu wengine, "pentest" ni sawa na "scan otomatiki". Lakini scanners kwenye mradi huu hazikusema chochote. Kweli, kiwango cha juu kilionyeshwa na udhaifu wa Wastani (3 kati ya 5 kulingana na ukali): kwenye huduma fulani cheti kibovu cha TLS au algoriti za usimbaji zilizopitwa na wakati, na kwenye tovuti nyingi za Kubofya. Lakini hii haitakufikisha kwenye lengo lako. Labda scanners itakuwa muhimu zaidi hapa, lakini nikukumbushe: mteja mwenyewe ana uwezo wa kununua programu hizo na kujijaribu pamoja nao, na, kwa kuzingatia matokeo mabaya, tayari ameangalia.
Wacha turudi kwenye tovuti "za ajabu". Ya kwanza ni kitu kama Wiki ya ndani katika anwani isiyo ya kawaida, lakini katika makala hii iwe wiki.company[.]ru. Pia aliuliza mara moja kuingia na nenosiri, lakini kupitia NTLM kwenye kivinjari. Kwa mtumiaji, hii inaonekana kama kidirisha kisicho na maana kinachouliza kuingiza jina la mtumiaji na nywila. Na hii ni mazoezi mabaya.
noti ndogo. NTLM katika tovuti za mzunguko ni mbaya kwa sababu kadhaa. Sababu ya kwanza ni kwamba jina la kikoa la Active Directory limefunuliwa. Katika mfano wetu, pia iligeuka kuwa company.ru, kama vile jina la "nje" la DNS. Kujua hili, unaweza kuandaa kwa uangalifu kitu kibaya ili kitekelezwe tu kwenye mashine ya kikoa ya shirika, na sio kwenye sanduku la mchanga. Pili, uthibitishaji huenda moja kwa moja kupitia kidhibiti cha kikoa kupitia NTLM (mshangao, sivyo?), na vipengele vyote vya sera za mtandao za "ndani", ikiwa ni pamoja na kuzuia akaunti kuzidi idadi ya majaribio ya kuingiza nenosiri. Ikiwa mshambuliaji atagundua kuingia, atajaribu nywila kwao. Ikiwa umeundwa kuzuia akaunti kuingia nenosiri lisilo sahihi, itafanya kazi na akaunti itazuiwa. Tatu, haiwezekani kuongeza sababu ya pili kwa uthibitishaji huo. Ikiwa wasomaji yeyote bado wanajua jinsi gani, tafadhali nijulishe, inavutia sana. Nne, kuathiriwa na mashambulizi ya kupita-heshi. ADFS ilivumbuliwa, miongoni mwa mambo mengine, kulinda dhidi ya haya yote.
Kuna mali moja mbaya ya bidhaa za Microsoft: hata ikiwa haukuchapisha NTLM kama hiyo, itasakinishwa kwa chaguo-msingi katika OWA na Lync, kwa kiwango cha chini.
Kwa njia, mwandishi wa makala hii mara moja alizuia kwa bahati mbaya akaunti takriban 1000 za wafanyakazi wa benki moja kubwa kwa saa moja tu kwa kutumia njia sawa na kisha kuonekana kwa kiasi fulani rangi. Huduma za IT za benki pia zilikuwa za rangi, lakini kila kitu kilimalizika vizuri na vya kutosha, hata tulisifiwa kwa kuwa wa kwanza kupata tatizo hili na kusababisha marekebisho ya haraka na ya uamuzi.
Tovuti ya pili ilikuwa na anwani "dhahiri aina fulani ya jina la mwisho.company.ru." Niliipata kupitia Google, kitu kama hiki kwenye ukurasa wa 10. Muundo huo ulikuwa wa mapema katikati ya miaka ya XNUMX, na mtu mwenye heshima alikuwa akiutazama kutoka ukurasa kuu, kitu kama hiki:
Hapa nilichukua tuli kutoka kwa "Moyo wa Mbwa", lakini niniamini, ilikuwa sawa, hata muundo wa rangi ulikuwa katika tani sawa. Wacha tovuti iitwe preobrazhensky.company.ru.
Ilikuwa tovuti ya kibinafsi ... kwa daktari wa mkojo. Nilishangaa tovuti ya urologist ilikuwa inafanya nini kwenye kikoa cha kampuni ya teknolojia ya juu. Uchunguzi wa haraka kwenye Google ulionyesha kuwa daktari huyu alikuwa mwanzilishi mwenza wa mojawapo ya mashirika ya kisheria ya mteja wetu na hata alichangia takriban rubles 1000 katika mtaji ulioidhinishwa. Tovuti labda iliundwa miaka mingi iliyopita, na rasilimali za seva za mteja zilitumika kama mwenyeji. Tovuti imepoteza umuhimu wake kwa muda mrefu, lakini kwa sababu fulani iliachwa kufanya kazi kwa muda mrefu.
Kwa upande wa udhaifu, tovuti yenyewe ilikuwa salama. Kuangalia mbele, nitasema kwamba ilikuwa seti ya habari tuli - kurasa rahisi za html na vielelezo vilivyoingizwa kwa namna ya figo na kibofu. Haina maana "kuvunja" tovuti kama hiyo.
Lakini seva ya wavuti iliyo chini ilivutia zaidi. Kwa kuzingatia kichwa cha Seva ya HTTP, ilikuwa na IIS 6.0, ambayo inamaanisha ilitumia Windows 2003 kama mfumo wa uendeshaji. Kichanganuzi hapo awali kilikuwa kimetambua kuwa tovuti hii ya mtaalamu wa mfumo wa mkojo, tofauti na wapangishi wengine pepe kwenye seva hiyo hiyo ya wavuti, ilijibu amri ya PROPFIND, kumaanisha kuwa ilikuwa ikiendesha WebDAV. Kwa njia, skana ilirudisha habari hii na alama Info (kwa lugha ya ripoti za skana, hii ndio hatari ya chini) - vitu kama hivyo kawaida hurukwa tu. Kwa pamoja, hii ilitoa athari ya kupendeza, ambayo ilifunuliwa tu baada ya kuchimba nyingine kwenye Google: hatari ya nadra ya kufurika kwa buffer inayohusishwa na seti ya Shadow Brokers, ambayo ni CVE-2017-7269, ambayo tayari ilikuwa na unyonyaji uliotengenezwa tayari. Kwa maneno mengine, kutakuwa na shida ikiwa una Windows 2003 na WebDAV inafanya kazi kwenye IIS. Ingawa kuendesha Windows 2003 katika uzalishaji mnamo 2018 ni shida yenyewe.
Unyonyaji huo uliishia kwenye Metasploit na ulijaribiwa mara moja na mzigo uliotuma ombi la DNS kwa huduma inayodhibitiwa - Burp Collaborator kawaida hutumiwa kupata maombi ya DNS. Kwa mshangao wangu, ilifanya kazi mara ya kwanza: mtoano wa DNS ulipokelewa. Ifuatayo, kulikuwa na jaribio la kuunda kiunganishi kupitia bandari 80 (yaani, muunganisho wa mtandao kutoka kwa seva hadi kwa mshambuliaji, na ufikiaji wa cmd.exe kwenye mwenyeji wa mwathirika), lakini kisha fiasco ilitokea. Uunganisho haukuja, na baada ya jaribio la tatu la kutumia tovuti, pamoja na picha zote za kuvutia, zilipotea milele.
Kawaida hii inafuatwa na barua katika mtindo wa "mteja, amka, tumeacha kila kitu." Lakini tuliambiwa kuwa tovuti haina uhusiano wowote na michakato ya biashara na inafanya kazi hapo bila sababu yoyote, kama seva nzima, na kwamba tunaweza kutumia rasilimali hii tupendavyo.
Takriban siku moja baadaye tovuti hiyo ghafla ilianza kufanya kazi yenyewe. Baada ya kuunda benchi kutoka kwa WebDAV kwenye IIS 6.0, niligundua kuwa mpangilio chaguo-msingi ni kuanzisha tena michakato ya wafanyikazi wa IIS kila masaa 30. Hiyo ni, udhibiti ulipotoka kwa msimbo wa ganda, mchakato wa mfanyakazi wa IIS uliisha, kisha ukajianzisha tena mara kadhaa na kisha ukapumzika kwa masaa 30.
Kwa kuwa muunganisho wa nyuma kwa tcp umeshindwa mara ya kwanza, nilihusisha tatizo hili kwa mlango uliofungwa. Hiyo ni, alidhani uwepo wa aina fulani ya firewall ambayo haikuruhusu miunganisho inayotoka kupita nje. Nilianza kuendesha misimbo ya ganda ambayo ilitafuta bandari nyingi za tcp na udp, hakukuwa na athari. Kurejesha mizigo ya muunganisho kupitia http(s) kutoka Metasploit haikufanya kazi - meterpreter/reverse_http(s). Ghafla, uunganisho kwenye bandari hiyo 80 ilianzishwa, lakini mara moja imeshuka. Nilihusisha hili na hatua ya IPS bado ya kufikiria, ambayo haikupenda trafiki ya mita. Kwa kuzingatia ukweli kwamba muunganisho safi wa tcp kwa bandari 80 haukupitia, lakini unganisho la http lilipitia, nilihitimisha kuwa proksi ya http ilisanidiwa kwa njia fulani kwenye mfumo.
Nilijaribu hata mitapreter kupitia DNS (asante kwa juhudi zako, iliokoa miradi mingi), ukikumbuka mafanikio ya kwanza, lakini haikufanya kazi kwenye msimamo - nambari ya ganda ilikuwa ngumu sana kwa hatari hii.
Kwa ukweli, ilionekana kama hii: majaribio 3-4 ya kushambulia ndani ya dakika 5, kisha kusubiri kwa masaa 30. Na kadhalika kwa wiki tatu mfululizo. Hata niliweka ukumbusho ili nisipoteze muda. Zaidi ya hayo, kulikuwa na tofauti katika tabia ya mazingira ya mtihani na uzalishaji: kwa udhaifu huu kulikuwa na ushujaa mbili sawa, moja kutoka Metasploit, ya pili kutoka kwa mtandao, iliyobadilishwa kutoka kwa toleo la Shadow Brokers. Kwa hivyo, Metasploit pekee ndiyo iliyojaribiwa kwenye mapigano, na ya pili pekee ndiyo ilijaribiwa kwenye benchi, ambayo ilifanya utatuzi kuwa mgumu zaidi na ulikuwa wa kuumiza ubongo.
Mwishowe, msimbo wa ganda ambao ulipakua faili ya exe kutoka kwa seva fulani kupitia http na kuizindua kwenye mfumo unaolengwa ulionekana kuwa mzuri. Nambari ya ganda ilikuwa ndogo kutosha kutoshea, lakini angalau ilifanya kazi. Kwa kuwa seva haikupenda trafiki ya TCP hata kidogo na http (s) zilikaguliwa kwa uwepo wa meterpreter, niliamua kuwa njia ya haraka sana ilikuwa kupakua faili ya exe ambayo ilikuwa na DNS-meterpreter kupitia shellcode hii.
Hapa tena shida iliibuka: wakati wa kupakua faili ya exe na, kama majaribio yalionyesha, haijalishi ni ipi, upakuaji uliingiliwa. Tena, kifaa fulani cha usalama kati ya seva yangu na daktari wa mkojo hakupenda trafiki ya http na exe ndani. Suluhisho la "haraka" lilionekana kuwa kubadilisha msimbo wa ganda ili iweze kutatiza trafiki ya http kwenye nzi, ili data dhahania ya binary ihamishwe badala ya exe. Hatimaye, shambulio hilo lilifanikiwa, udhibiti ulipokelewa kupitia chaneli nyembamba ya DNS:
Mara moja ikawa wazi kuwa nina haki za msingi za IIS za mtiririko wa kazi, ambazo huniruhusu kufanya chochote. Hivi ndivyo ilionekana kwenye koni ya Metasploit:
Mbinu zote za pentest zinapendekeza sana kwamba unahitaji kuongeza haki wakati wa kupata ufikiaji. Kawaida sifanyi hivi ndani, kwani ufikiaji wa kwanza kabisa huonekana kama mahali pa kuingilia mtandao, na kuhatarisha mashine nyingine kwenye mtandao huo huo kawaida ni rahisi na haraka kuliko kuongezeka kwa marupurupu kwa mwenyeji aliyepo. Lakini hii sivyo ilivyo hapa, kwani kituo cha DNS ni nyembamba sana na haitaruhusu trafiki kufuta.
Kwa kudhani kuwa seva hii ya Windows 2003 haijarekebishwa kwa hatari maarufu ya MS17-010, mimi huweka trafiki hadi bandari 445/TCP kupitia mitaro ya handaki ya DNS kwenye localhost (ndio, hii inawezekana pia) na jaribu kuendesha exe iliyopakuliwa hapo awali kupitia. mazingira magumu. Shambulio hilo linafanya kazi, ninapokea muunganisho wa pili, lakini kwa haki za SYSTEM.
Inafurahisha kwamba bado walijaribu kulinda seva kutoka kwa MS17-010 - ilikuwa na huduma za mtandao zilizo hatarini zimezimwa kwenye kiolesura cha nje. Hii hailindi dhidi ya mashambulizi ya mtandao, lakini shambulio kutoka ndani ya mwenyeji wa ndani lilifanya kazi, kwani huwezi kuzima kwa haraka SMB kwenye localhost.
Ifuatayo, maelezo mapya ya kuvutia yanafunuliwa:
- Ukiwa na haki za SYSTEM, unaweza kuanzisha muunganisho wa nyuma kwa urahisi kupitia TCP. Ni wazi, kulemaza TCP moja kwa moja ni shida kwa mtumiaji mdogo wa IIS. Spoiler: trafiki ya watumiaji wa IIS ilifungwa kwa njia fulani kwenye Proksi ya ndani ya ISA katika pande zote mbili. Jinsi inavyofanya kazi, sijazalisha tena.
- Niko katika "DMZ" fulani (na hii sio kikoa cha Saraka Inayotumika, lakini WORKGROUP) - inasikika kuwa ya kimantiki. Lakini badala ya anwani ya IP ya faragha ("kijivu") inayotarajiwa, nina anwani ya IP "nyeupe" kabisa, sawa na ile niliyoshambulia hapo awali. Hii inamaanisha kuwa kampuni hiyo ni ya zamani sana katika ulimwengu wa kushughulikia IPv4 hivi kwamba inaweza kumudu kudumisha eneo la DMZ kwa anwani 128 "nyeupe" bila NAT kulingana na mpango, kama inavyoonyeshwa katika miongozo ya Cisco kutoka 2005.
Kwa kuwa seva ni ya zamani, Mimikatz imehakikishiwa kufanya kazi moja kwa moja kutoka kwa kumbukumbu:
Ninapata nywila ya msimamizi wa eneo hilo, handaki ya trafiki ya RDP juu ya TCP na kuingia kwenye eneo-kazi laini. Kwa kuwa ningeweza kufanya chochote nilichotaka na seva, niliondoa antivirus na nikagundua kuwa seva ilipatikana kutoka kwa Mtandao tu kupitia bandari za TCP 80 na 443, na 443 haikuwa kazi. Nilianzisha seva ya OpenVPN mnamo 443, kuongeza vitendaji vya NAT kwa trafiki yangu ya VPN na kupata ufikiaji wa moja kwa moja kwa mtandao wa DMZ kwa njia isiyo na kikomo kupitia OpenVPN yangu. Ni vyema kutambua kwamba ISA, ikiwa na baadhi ya vipengele vya IPS visivyozimwa, ilizuia trafiki yangu na skanning ya bandari, ambayo ilibidi kubadilishwa na RRAS rahisi na inayotii zaidi. Kwa hiyo wapentesta wakati mwingine bado wanapaswa kusimamia kila aina ya mambo.
Msomaji makini atauliza: "Vipi kuhusu tovuti ya pili - wiki iliyo na uthibitishaji wa NTLM, ambayo mengi yameandikwa?" Zaidi juu ya hili baadaye.
Sehemu ya 2. Bado haijasimba? Kisha tunakuja kwako tayari hapa
Kwa hiyo, kuna upatikanaji wa sehemu ya mtandao wa DMZ. Unahitaji kwenda kwa msimamizi wa kikoa. Jambo la kwanza linalokuja akilini ni kuangalia kiotomatiki usalama wa huduma ndani ya sehemu ya DMZ, haswa kwani nyingi zaidi kati yao sasa zimefunguliwa kwa utafiti. Picha ya kawaida wakati wa jaribio la kupenya: eneo la nje linalindwa bora kuliko huduma za ndani, na wakati wa kupata ufikiaji wowote ndani ya miundombinu kubwa, ni rahisi zaidi kupata haki zilizopanuliwa katika kikoa tu kwa sababu ya ukweli kwamba kikoa hiki kinaanza kuwa. kupatikana kwa zana, na pili, Katika miundombinu yenye majeshi elfu kadhaa, daima kutakuwa na matatizo kadhaa muhimu.
Ninachaji vichanganuzi kupitia DMZ kupitia handaki ya OpenVPN na subiri. Ninafungua ripoti - tena hakuna kitu kikubwa, inaonekana mtu alipitia njia sawa kabla yangu. Hatua inayofuata ni kuchunguza jinsi wahudumu ndani ya mtandao wa DMZ wanavyowasiliana. Ili kufanya hivyo, kwanza zindua Wireshark ya kawaida na usikilize maombi ya matangazo, haswa ARP. Pakiti za ARP zilikusanywa siku nzima. Inageuka kuwa lango kadhaa hutumiwa katika sehemu hii. Hii itakuja kwa manufaa baadaye. Kwa kuchanganya data ya maombi na majibu ya ARP na data ya kukagua lango, nilipata sehemu za kutoka za trafiki ya watumiaji kutoka ndani ya mtandao wa ndani pamoja na huduma hizo ambazo zilijulikana hapo awali, kama vile wavuti na barua.
Kwa kuwa kwa sasa sikuwa na ufikiaji wowote wa mifumo mingine na sikuwa na akaunti moja ya huduma za ushirika, iliamuliwa kuvua angalau akaunti fulani kutoka kwa trafiki kwa kutumia ARP Spoofing.
Kaini na Abel ilizinduliwa kwenye seva ya daktari wa mkojo. Kwa kuzingatia mtiririko wa trafiki uliotambuliwa, jozi za kuahidi zaidi kwa shambulio la mtu wa kati zilichaguliwa, na kisha trafiki fulani ya mtandao ilipokelewa kwa uzinduzi wa muda mfupi kwa dakika 5-10, na kipima muda cha kuwasha tena seva. katika kesi ya kufungia. Kama katika utani, kulikuwa na habari mbili:
- Nzuri: sifa nyingi zilinaswa na shambulio hilo kwa ujumla lilifanya kazi.
- Ubaya: vitambulisho vyote vilitoka kwa wateja wa mteja mwenyewe. Wakati wa kutoa huduma za usaidizi, wataalamu wa wateja waliunganishwa kwa huduma za wateja ambao hawakuwa na usimbaji fiche wa trafiki kila wakati.
Kama matokeo, nilipata sifa nyingi ambazo hazikuwa na maana katika muktadha wa mradi huo, lakini dhahiri za kuvutia kama onyesho la hatari ya shambulio hilo. Vipanga njia vya mpaka vya makampuni makubwa yenye telnet, vilisambaza bandari za utatuzi za http kwa CRM ya ndani na data zote, ufikiaji wa moja kwa moja kwa RDP kutoka Windows XP kwenye mtandao wa ndani na upuuzi mwingine. Ikawa hivi .
Pia nilipata fursa ya kuchekesha ya kukusanya barua kutoka kwa trafiki, kitu kama hiki. Huu ni mfano wa barua iliyotengenezwa tayari ambayo ilitoka kwa mteja wetu hadi kwenye bandari ya SMTP ya mteja wake, tena, bila usimbaji fiche. Andrey fulani anauliza jina lake kutuma tena hati, na inapakiwa kwenye diski ya wingu na kuingia, nenosiri na kiungo katika barua moja ya majibu:
Hiki ni kikumbusho kingine cha kusimba huduma zote kwa njia fiche. Haijulikani ni nani na lini atasoma na kutumia data yako haswa - mtoaji, msimamizi wa mfumo wa kampuni nyingine, au pentester kama huyo. Siko kimya kuhusu ukweli kwamba watu wengi wanaweza kukatiza trafiki ambayo haijasimbwa.
Licha ya mafanikio yaliyoonekana, hii haikutuleta karibu na lengo. Iliwezekana, kwa kweli, kukaa kwa muda mrefu na kuvua habari muhimu, lakini sio ukweli kwamba ingeonekana hapo, na shambulio yenyewe ni hatari sana kwa suala la uadilifu wa mtandao.
Baada ya kuchimba mwingine kwenye huduma, wazo la kupendeza lilikuja akilini. Kuna huduma kama hiyo inayoitwa Responder (ni rahisi kupata mifano ya matumizi kwa jina hili), ambayo, kwa "sumu" maombi ya matangazo, husababisha miunganisho kupitia itifaki mbalimbali kama vile SMB, HTTP, LDAP, nk. kwa njia tofauti, kisha huuliza kila mtu anayeunganisha kuthibitisha na kuiweka ili uthibitishaji ufanyike kupitia NTLM na kwa hali ya uwazi kwa mwathirika. Mara nyingi, mshambuliaji hukusanya mikono ya NetNTLMv2 kwa njia hii na kutoka kwao, kwa kutumia kamusi, hurejesha haraka nywila za kikoa cha mtumiaji. Hapa nilitaka kitu sawa, lakini watumiaji waliketi "nyuma ya ukuta", au tuseme, walitenganishwa na firewall, na kufikia WEB kupitia kikundi cha wakala wa Blue Coat.
Kumbuka, nilitaja kwamba jina la kikoa la Active Directory liliambatana na kikoa cha "nje", yaani, ilikuwa company.ru? Kwa hivyo, Windows, kwa usahihi zaidi Internet Explorer (na Edge na Chrome), kuruhusu mtumiaji kuthibitisha kwa uwazi katika HTTP kupitia NTLM ikiwa wanaona kuwa tovuti iko katika baadhi ya "Eneo la Intranet". Moja ya ishara za "Intranet" ni upatikanaji wa anwani ya IP ya "kijivu" au jina fupi la DNS, yaani, bila dots. Kwa kuwa walikuwa na seva iliyo na IP "nyeupe" na jina la DNS preobrazhensky.company.ru, na mashine za kikoa kawaida hupokea kiambishi cha kikoa cha Active Directory kupitia DHCP kwa ingizo la jina lililorahisishwa, ilibidi tu kuandika URL kwenye upau wa anwani. , ili wapate njia sahihi kwa seva ya urolojia iliyoharibika, bila kusahau kwamba hii sasa inaitwa "Intranet". Hiyo ni, wakati huo huo kunipa NTLM-handshake ya mtumiaji bila ujuzi wake. Kilichobaki ni kulazimisha vivinjari vya mteja kufikiria juu ya hitaji la haraka la kuwasiliana na seva hii.
Huduma ya ajabu ya Intercepter-NG ilikuja kuwaokoa (asante ) Ilikuruhusu kubadilisha trafiki kwenye kuruka na ilifanya kazi vizuri kwenye Windows 2003. Hata ilikuwa na utendaji tofauti wa kurekebisha faili za JavaScript tu kwenye mtiririko wa trafiki. Aina ya uandikaji mkubwa wa tovuti ilipangwa.
Wakala wa Blue Coat, ambao watumiaji walifikia WEB ya kimataifa, walihifadhi mara kwa mara maudhui tuli. Kwa kukatiza trafiki, ilikuwa wazi kwamba walikuwa wakifanya kazi saa nzima, wakiomba bila kikomo tuli kutumika mara kwa mara ili kuharakisha uonyeshaji wa maudhui wakati wa saa za kilele. Kwa kuongezea, BlueCoat ilikuwa na Wakala maalum wa Mtumiaji, ambayo iliitofautisha wazi na mtumiaji halisi.
Javascript ilitayarishwa, ambayo, kwa kutumia Intercepter-NG, ilitekelezwa kwa saa moja usiku kwa kila jibu na faili za JS za Blue Coat. Nakala ilifanya yafuatayo:
- Imebainisha kivinjari cha sasa na Wakala wa Mtumiaji. Ikiwa ilikuwa Internet Explorer, Edge au Chrome, iliendelea kufanya kazi.
- Nilisubiri hadi DOM ya ukurasa itengenezwe.
- Imeingiza picha isiyoonekana kwenye DOM yenye sifa ya src ya fomu :8080/NNNNNNN.png, ambapo NNN ni nambari za kiholela ili BlueCoat isiihifadhi.
- Weka kigezo cha bendera ya kimataifa ili kuonyesha kuwa sindano imekamilika na hakuna haja ya kuingiza picha tena.
Kivinjari kilijaribu kupakia picha hii; kwenye bandari 8080 ya seva iliyoathiriwa, handaki ya TCP ilikuwa ikiisubiri kwenye kompyuta yangu ya mkononi, ambapo Kijibu sawa kilikuwa kikifanya kazi, kikihitaji kivinjari kuingia kupitia NTLM.
Kwa kuzingatia magogo ya Wajibu, watu walikuja kufanya kazi asubuhi, wakawasha vituo vyao vya kazi, kisha kwa wingi na bila kutambuliwa walianza kutembelea seva ya urologist, bila kusahau "kufuta" mikono ya NTLM. Kushikana mikono kulinyesha siku nzima na kukusanya nyenzo kwa uwazi kwa shambulio lililofanikiwa la kurejesha nywila. Hivi ndivyo kumbukumbu za Majibu zilivyoonekana:
Ziara za siri nyingi kwa seva ya urolojia na watumiaji
Labda tayari umegundua kuwa hadithi hii yote imejengwa juu ya kanuni "kila kitu kilikuwa sawa, lakini basi kulikuwa na bummer, basi kulikuwa na kushinda, na kisha kila kitu kilifanikiwa." Kwa hivyo, kulikuwa na mshtuko hapa. Kati ya mikono hamsini ya kipekee, hakuna hata moja iliyofunuliwa. Na hii inazingatia ukweli kwamba hata kwenye kompyuta ya mkononi iliyo na processor iliyokufa, mikono hii ya NTLMv2 inasindika kwa kasi ya majaribio milioni mia kadhaa kwa pili.
Ilinibidi nijizatiti na mbinu za kubadilisha nenosiri, kadi ya video, kamusi nene na kusubiri. Baada ya muda mrefu, akaunti kadhaa zilizo na manenosiri kama vile βQ11111111....1111111qβ zilifichuliwa, jambo ambalo linapendekeza kwamba watumiaji wote walilazimika kuja na nenosiri refu sana lenye herufi tofauti, ambalo pia lilipaswa kuwa tata. . Lakini huwezi kumdanganya mtumiaji aliye na uzoefu, na hivi ndivyo alivyofanya iwe rahisi kwake kukumbuka. Kwa jumla, takriban akaunti 5 ziliingiliwa, na ni moja tu kati yao ilikuwa na haki yoyote muhimu kwa huduma.
Sehemu ya 3. Roskomnadzor hupiga nyuma
Kwa hivyo, akaunti za kwanza za kikoa zilipokelewa. Ikiwa haujalala kwa hatua hii kutoka kwa kusoma kwa muda mrefu, labda utakumbuka kwamba nilitaja huduma ambayo haikuhitaji sababu ya pili ya uthibitishaji: ni wiki yenye uthibitishaji wa NTLM. Bila shaka, jambo la kwanza kufanya lilikuwa kuingia huko. Kuchimba msingi wa maarifa ya ndani haraka kulileta matokeo:
- Kampuni ina mtandao wa WiFi na uthibitishaji kwa kutumia akaunti za kikoa na upatikanaji wa mtandao wa ndani. Kwa seti ya sasa ya data, hii tayari ni vector ya mashambulizi ya kazi, lakini unahitaji kwenda ofisi na miguu yako na kuwa iko mahali fulani kwenye eneo la ofisi ya mteja.
- Nilipata maagizo kulingana na ambayo kulikuwa na huduma ambayo iliruhusu ... kujiandikisha kwa kujitegemea kifaa cha uthibitishaji cha "sababu ya pili" ikiwa mtumiaji yuko ndani ya mtandao wa ndani na anakumbuka kwa ujasiri kuingia kwake na nenosiri la kikoa. Katika kesi hii, "ndani" na "nje" ilitambuliwa na upatikanaji wa bandari ya huduma hii kwa mtumiaji. Bandari haikupatikana kutoka kwa Mtandao, lakini ilipatikana kabisa kupitia DMZ.
Bila shaka, "sababu ya pili" iliongezwa mara moja kwenye akaunti iliyoathirika kwa namna ya maombi kwenye simu yangu. Kulikuwa na programu ambayo inaweza kutuma ombi la kushinikiza kwa simu kwa sauti kubwa na vitufe vya "idhinisha"/"kukataa" kwa kitendo, au kuonyesha kimyakimya msimbo wa OTP kwenye skrini ili uingie huru zaidi. Zaidi ya hayo, njia ya kwanza ilitakiwa na maagizo kuwa pekee sahihi, lakini haikufanya kazi, tofauti na njia ya OTP.
Kwa "sababu ya pili" iliyovunjika, niliweza kufikia barua pepe ya Ufikiaji wa Wavuti ya Outlook na ufikiaji wa mbali katika Citrix Netscaler Gateway. Kulikuwa na mshangao katika barua katika Outlook:
Katika risasi hii ya nadra unaweza kuona jinsi Roskomnadzor husaidia pentesters
Hii ilikuwa miezi ya kwanza baada ya kuzuia "shabiki" maarufu wa Telegraph, wakati mitandao yote iliyo na maelfu ya anwani ilipotea bila ufikiaji. Ilionekana wazi kwa nini msukumo haukufanya kazi mara moja na kwa nini "mwathirika" wangu hakupiga kengele kwa sababu walianza kutumia akaunti yake wakati wa saa za kazi.
Mtu yeyote anayefahamu Citrix Netscaler anafikiria kwamba kawaida hutekelezwa kwa njia ambayo kiolesura cha picha pekee kinaweza kuwasilishwa kwa mtumiaji, akijaribu kutompa zana za kuzindua programu za mtu wa tatu na kuhamisha data, ikizuia kwa kila njia vitendo. kupitia makombora ya udhibiti wa kawaida. "Mhasiriwa" wangu, kwa sababu ya kazi yake, alipata 1C tu:
Baada ya kuzunguka kiolesura cha 1C kidogo, niligundua kuwa kuna moduli za usindikaji wa nje huko. Wanaweza kupakiwa kutoka kwa interface, na watatekelezwa kwa mteja au seva, kulingana na haki na mipangilio.
Niliuliza marafiki zangu wa programu ya 1C kuunda usindikaji ambao utakubali kamba na kuitekeleza. Katika lugha ya 1C, kuanza mchakato kunaonekana kama hii (iliyochukuliwa kutoka kwa Mtandao). Je, unakubali kwamba sintaksia ya lugha ya 1C inawashangaza watu wanaozungumza Kirusi kwa urahisi wake?
Usindikaji ulitekelezwa kikamilifu; ikawa kile ambacho wapentesta huita "ganda" - Internet Explorer ilizinduliwa kupitia hiyo.
Hapo awali, anwani ya mfumo unaokuwezesha kuagiza kupita kwenye eneo ilipatikana katika barua. Niliamuru pasi ikiwa nitalazimika kutumia vekta ya shambulio la WiFi.
Kuna mazungumzo kwenye Mtandao kwamba bado kulikuwa na upishi wa kitamu bila malipo kwenye ofisi ya mteja, lakini bado nilipendelea kukuza shambulio hilo kwa mbali, ni tulivu.
AppLocker iliamilishwa kwenye seva ya programu inayoendesha Citrix, lakini ilipuuzwa. Meterpreter hiyo hiyo ilipakiwa na kuzinduliwa kupitia DNS, kwa kuwa matoleo ya http (s) hayakutaka kuunganishwa, na sikujua anwani ya seva mbadala wakati huo. Kwa njia, kutoka wakati huu na kuendelea, pentest ya nje kimsingi iligeuka kabisa kuwa ya ndani.
Sehemu ya 4. Haki za msimamizi kwa watumiaji ni mbaya, sawa?
Kazi ya kwanza ya pentester wakati wa kupata udhibiti wa kipindi cha mtumiaji wa kikoa ni kukusanya taarifa zote kuhusu haki katika kikoa. Kuna matumizi ya BloodHound ambayo hukuruhusu kupakua kiotomati habari kuhusu watumiaji, kompyuta, vikundi vya usalama kupitia itifaki ya LDAP kutoka kwa kidhibiti cha kikoa, na kupitia SMB - habari kuhusu ni mtumiaji gani aliyeingia hivi majuzi wapi na nani ni msimamizi wa eneo.
Mbinu ya kawaida ya kunyakua haki za msimamizi wa kikoa inaonekana kurahisishwa kama mzunguko wa vitendo vya kuchukiza:
- Tunaenda kwenye kompyuta za kikoa ambako kuna haki za msimamizi wa ndani, kulingana na akaunti za kikoa zilizonaswa tayari.
- Tunazindua Mimikatz na kupata manenosiri yaliyoakibishwa, tiketi za Kerberos na heshi za NTLM za akaunti za kikoa ambazo zimeingia kwenye mfumo huu hivi majuzi. Au tunaondoa picha ya kumbukumbu ya mchakato wa lsass.exe na kufanya vivyo hivyo kwa upande wetu. Hii inafanya kazi vizuri na Windows mdogo kuliko 2012R2/Windows 8.1 na mipangilio chaguo-msingi.
- Tunabainisha ambapo akaunti zilizoathiriwa zina haki za msimamizi wa ndani. Tunarudia hatua ya kwanza. Katika hatua fulani tunapata haki za msimamizi kwa kikoa kizima.
"Mwisho wa Mzunguko;", kama watengenezaji programu wa 1C wangeandika hapa.
Kwa hiyo, mtumiaji wetu aligeuka kuwa msimamizi wa ndani kwenye jeshi moja tu na Windows 7, jina ambalo lilijumuisha neno "VDI", au "Virtual Desktop Infrastructure", mashine za kibinafsi za kibinafsi. Pengine, mbuni wa huduma ya VDI alimaanisha kwamba kwa kuwa VDI ni mfumo wa uendeshaji wa kibinafsi wa mtumiaji, hata kama mtumiaji atabadilisha mazingira ya programu kama apendavyo, mwenyeji bado anaweza "kupakiwa upya". Pia nilidhani kuwa kwa ujumla wazo lilikuwa zuri, nilienda kwa mwenyeji huyu wa kibinafsi wa VDI na kutengeneza kiota hapo:
- Niliweka mteja wa OpenVPN hapo, ambayo ilifanya handaki kupitia Mtandao hadi kwa seva yangu. Mteja alilazimika kupitia Coat sawa ya Bluu na uthibitishaji wa kikoa, lakini OpenVPN ilifanya hivyo, kama wanasema, "nje ya boksi."
- Imesakinishwa OpenSSH kwenye VDI. Kweli, Windows 7 ni nini bila SSH?
Hivi ndivyo ilionekana kuishi. Acha nikukumbushe kuwa haya yote lazima yafanywe kupitia Citrix na 1C:
Mbinu moja ya kukuza ufikiaji wa kompyuta za jirani ni kuangalia nywila za msimamizi wa eneo kwa mechi. Hapa bahati ilingoja mara moja: heshi ya NTLM ya msimamizi wa eneo chaguo-msingi (ambaye aliitwa ghafla Msimamizi) ilifikiwa kupitia shambulio la kupita-hashi kwa majeshi jirani ya VDI, ambayo yalikuwa na mamia kadhaa. Bila shaka, shambulio hilo likawapiga mara moja.
Hapa ndipo wasimamizi wa VDI walijipiga risasi mguuni mara mbili:
- Mara ya kwanza ilikuwa wakati mashine za VDI hazikuwekwa chini ya LAPS, kimsingi kubakiza nenosiri lile lile la msimamizi wa eneo kutoka kwa picha ambayo ilitumwa kwa wingi kwa VDI.
- Msimamizi chaguo-msingi ndiyo akaunti pekee ya ndani ambayo inaweza kushambuliwa na pass-the-hash. Hata kwa nenosiri lile lile, itawezekana kuzuia maelewano ya watu wengi kwa kuunda akaunti ya pili ya msimamizi wa eneo na nenosiri tata la nasibu na kuzuia ile chaguo-msingi.
Kwa nini kuna huduma ya SSH kwenye Windows hiyo? Rahisi sana: sasa seva ya OpenSSH haikutoa tu shell ya amri ya maingiliano rahisi bila kuingilia kazi ya mtumiaji, lakini pia proksi ya soksi5 kwenye VDI. Kupitia soksi hizi, niliunganisha kupitia SMB na kukusanya akaunti zilizoakibishwa kutoka kwa mamia haya yote ya mashine za VDI, kisha nikatafuta njia ya kwenda kwa msimamizi wa kikoa akizitumia kwenye grafu za BloodHound. Nikiwa na mamia ya wenyeji, nilipata njia hii haraka sana. Haki za msimamizi wa kikoa zimepatikana.
Hapa kuna picha kutoka kwa Mtandao inayoonyesha utafutaji sawa. Viunganisho vinaonyesha nani yuko wapi msimamizi na ni nani ameingia wapi.
Kwa njia, kumbuka hali tangu mwanzo wa mradi - "usitumie uhandisi wa kijamii." Kwa hivyo, ninapendekeza kufikiria ni kiasi gani Bollywood hii yote yenye athari maalum ingekatwa ikiwa bado ingewezekana kutumia hadaa ya kupiga marufuku. Lakini kibinafsi, ilinivutia sana kufanya haya yote. Natumaini ulifurahia kusoma hii. Kwa kweli, sio kila mradi unaonekana kuvutia sana, lakini kazi kwa ujumla ni ngumu sana na hairuhusu kudumaa.
Pengine mtu atakuwa na swali: jinsi ya kujikinga? Hata makala hii inaelezea mbinu nyingi, nyingi ambazo wasimamizi wa Windows hawajui hata kuhusu. Walakini, ninapendekeza kuziangalia kutoka kwa mtazamo wa kanuni za udukuzi na hatua za usalama wa habari:
- usitumie programu zilizopitwa na wakati (kumbuka Windows 2003 hapo mwanzo?)
- usiweke mifumo isiyo ya lazima imewashwa (kwa nini kulikuwa na tovuti ya urologist?)
- angalia nywila za mtumiaji ili ujitie nguvu (vinginevyo askari... pentesters watafanya hivi)
- kutokuwa na nywila sawa kwa akaunti tofauti (maelewano ya VDI)
- na nyinginezo
Bila shaka, hii ni vigumu sana kutekeleza, lakini katika makala inayofuata tutaonyesha katika mazoezi kwamba inawezekana kabisa.
Chanzo: mapenzi.com