ఒకసారి పెంటెస్ట్, లేదా యూరాలజిస్ట్ మరియు రోస్కోమ్నాడ్జోర్ సహాయంతో ప్రతిదీ ఎలా విచ్ఛిన్నం చేయాలి

గ్రూప్-IB నిపుణులు కొన్ని సంవత్సరాల క్రితం నిర్వహించిన చాలా విజయవంతమైన పెంటెస్ట్ ఆధారంగా ఈ కథనం వ్రాయబడింది: బాలీవుడ్‌లో చలనచిత్రం కోసం స్వీకరించదగిన కథ జరిగింది. ఇప్పుడు, బహుశా, పాఠకుల ప్రతిస్పందన ఇలా ఉంటుంది: "ఓహ్, మరొక PR కథనం, మళ్లీ ఇవి చిత్రీకరించబడుతున్నాయి, అవి ఎంత మంచివి, పెంటెస్ట్ కొనడం మర్చిపోవద్దు." బాగా, ఒక వైపు, అది. అయితే, ఈ వ్యాసం కనిపించడానికి అనేక ఇతర కారణాలు ఉన్నాయి. పెంటెస్టర్‌లు సరిగ్గా ఏమి చేస్తారో, ఈ పని ఎంత ఆసక్తికరంగా మరియు పనికిమాలినదిగా ఉంటుందో, ప్రాజెక్ట్‌లలో ఎలాంటి ఫన్నీ పరిస్థితులు తలెత్తవచ్చు మరియు ముఖ్యంగా నిజమైన ఉదాహరణలతో ప్రత్యక్ష విషయాలను చూపించాలని నేను కోరుకుంటున్నాను.

ప్రపంచంలో నిరాడంబరత యొక్క సమతుల్యతను పునరుద్ధరించడానికి, కొంతకాలం తర్వాత మేము సరిగ్గా జరగని పెంటెస్ట్ గురించి వ్రాస్తాము. ఈ ప్రక్రియలు ఉనికిలో ఉన్నందున మరియు వాస్తవానికి పని చేస్తున్నందున, కంపెనీలో చక్కగా రూపొందించబడిన ప్రక్రియలు మొత్తం శ్రేణి దాడుల నుండి ఎలా రక్షించబడతాయో, బాగా సిద్ధమైన వాటి నుండి ఎలా రక్షించగలదో మేము చూపుతాము.

ఈ వ్యాసంలోని కస్టమర్ కోసం, ప్రతిదీ కూడా సాధారణంగా అద్భుతమైనది, మా భావాల ప్రకారం, రష్యన్ ఫెడరేషన్‌లోని మార్కెట్‌లో కనీసం 95% కంటే మెరుగ్గా ఉంది, అయితే అనేక చిన్న సూక్ష్మ నైపుణ్యాలు ఉన్నాయి, ఇవి సుదీర్ఘ సంఘటనల గొలుసును ఏర్పరుస్తాయి, ఇది మొదటిది పనిపై సుదీర్ఘ నివేదికకు దారితీసింది, ఆపై ఈ కథనానికి.

కాబట్టి, పాప్‌కార్న్‌ను నిల్వ చేద్దాం మరియు డిటెక్టివ్ కథనానికి స్వాగతం. పదం - పావెల్ సుప్రన్యుక్, గ్రూప్-IB యొక్క "ఆడిట్ మరియు కన్సల్టింగ్" విభాగం యొక్క సాంకేతిక మేనేజర్.

పార్ట్ 1. పోచ్కిన్ డాక్టర్

2018 ఒక కస్టమర్ ఉంది - ఒక హైటెక్ IT కంపెనీ, ఇది చాలా మంది ఖాతాదారులకు సేవలు అందిస్తుంది. ప్రశ్నకు సమాధానాన్ని పొందాలనుకుంటున్నారు: యాక్టివ్ డైరెక్టరీ డొమైన్ అడ్మినిస్ట్రేటర్ హక్కులను పొందడం ఇంటర్నెట్ ద్వారా పని చేయడం, ఏదైనా ప్రారంభ జ్ఞానం మరియు యాక్సెస్ లేకుండా సాధ్యమేనా? నాకు ఏ సోషల్ ఇంజినీరింగ్ పట్ల ఆసక్తి లేదు (ఓహ్, కానీ ఫలించలేదు), వారు ఉద్దేశపూర్వకంగా పనిలో జోక్యం చేసుకోవాలని అనుకోరు, కానీ వారు అనుకోకుండా - వింతగా పని చేసే సర్వర్‌ను రీలోడ్ చేయవచ్చు, ఉదాహరణకు. బయటి చుట్టుకొలతకు వ్యతిరేకంగా వీలైనన్ని ఇతర దాడి వెక్టర్‌లను గుర్తించడం అదనపు లక్ష్యం. కంపెనీ క్రమం తప్పకుండా అలాంటి పరీక్షలను నిర్వహిస్తుంది మరియు ఇప్పుడు కొత్త పరీక్ష కోసం గడువు వచ్చింది. పరిస్థితులు దాదాపు విలక్షణమైనవి, సరిపోతాయి, అర్థమయ్యేవి. ప్రారంభిద్దాం.

కస్టమర్ పేరు ఉంది - అది ప్రధాన వెబ్‌సైట్‌తో “కంపెనీ” అని ఉండనివ్వండి www.company.ru. వాస్తవానికి, వినియోగదారుని భిన్నంగా పిలుస్తారు, కానీ ఈ వ్యాసంలో ప్రతిదీ వ్యక్తిగతంగా ఉంటుంది.
నేను నెట్‌వర్క్ నిఘాను నిర్వహిస్తాను - కస్టమర్‌తో ఏ చిరునామాలు మరియు డొమైన్‌లు నమోదు చేయబడిందో తెలుసుకోండి, నెట్‌వర్క్ రేఖాచిత్రాన్ని గీయండి, ఈ చిరునామాలకు సేవలు ఎలా పంపిణీ చేయబడతాయో తెలుసుకోండి. నేను ఫలితాన్ని పొందాను: 4000 కంటే ఎక్కువ ప్రత్యక్ష IP చిరునామాలు. నేను ఈ నెట్‌వర్క్‌లలోని డొమైన్‌లను చూస్తున్నాను: అదృష్టవశాత్తూ, అత్యధిక భాగం కస్టమర్ క్లయింట్‌ల కోసం ఉద్దేశించిన నెట్‌వర్క్‌లు మరియు మేము వాటిపై అధికారికంగా ఆసక్తి చూపడం లేదు. కస్టమర్ కూడా అలాగే ఆలోచిస్తాడు.

256 చిరునామాలతో ఒక నెట్‌వర్క్ మిగిలి ఉంది, దీని కోసం ఈ క్షణంలో IP చిరునామాల ద్వారా డొమైన్‌లు మరియు సబ్‌డొమైన్‌ల పంపిణీపై ఇప్పటికే అవగాహన ఉంది, స్కాన్ చేసిన పోర్ట్‌ల గురించి సమాచారం ఉంది, అంటే మీరు ఆసక్తికరమైన వాటి కోసం సేవలను చూడవచ్చు. సమాంతరంగా, అన్ని రకాల స్కానర్‌లు అందుబాటులో ఉన్న IP చిరునామాలలో మరియు వెబ్‌సైట్‌లలో విడివిడిగా ప్రారంభించబడతాయి.

చాలా సేవలు ఉన్నాయి. సాధారణంగా ఇది పెంటెస్టర్‌కు ఆనందం మరియు శీఘ్ర విజయం కోసం ఎదురుచూస్తుంది, ఎందుకంటే ఎక్కువ సేవలు ఉంటే, దాడికి పెద్ద ఫీల్డ్ మరియు కళాకృతిని కనుగొనడం సులభం. వెబ్‌సైట్‌లను శీఘ్రంగా పరిశీలిస్తే, వాటిలో ఎక్కువ భాగం పెద్ద గ్లోబల్ కంపెనీల యొక్క ప్రసిద్ధ ఉత్పత్తుల యొక్క వెబ్ ఇంటర్‌ఫేస్‌లు అని తేలింది, అన్ని ప్రదర్శనల ద్వారా అవి స్వాగతించబడవని మీకు తెలియజేస్తాయి. వారు వినియోగదారు పేరు మరియు పాస్‌వర్డ్‌ను అడుగుతారు, రెండవ కారకాన్ని నమోదు చేయడానికి ఫీల్డ్‌ను షేక్ చేస్తారు, TLS క్లయింట్ సర్టిఫికేట్ కోసం అడుగుతారు లేదా Microsoft ADFSకి పంపుతారు. కొన్ని ఇంటర్నెట్ నుండి కేవలం యాక్సెస్ చేయలేవు. కొంతమందికి, మీరు మూడు జీతాల కోసం ప్రత్యేకంగా చెల్లించిన క్లయింట్‌ని కలిగి ఉండాలి లేదా నమోదు చేయడానికి ఖచ్చితమైన URLని తెలుసుకోవాలి. తెలిసిన దుర్బలత్వాల కోసం సాఫ్ట్‌వేర్ వెర్షన్‌లను "ఛేదించే" ప్రక్రియలో మరో వారం క్రమంగా నిరుత్సాహాన్ని దాటవేద్దాం, వెబ్ పాత్‌లలో దాచిన కంటెంట్ మరియు లింక్డ్‌ఇన్ వంటి థర్డ్-పార్టీ సర్వీస్‌ల నుండి లీక్ అయిన ఖాతాల కోసం శోధించడం, వాటిని ఉపయోగించి పాస్‌వర్డ్‌లను అంచనా వేయడానికి ప్రయత్నించడం. స్వీయ-వ్రాతపూర్వక వెబ్‌సైట్‌లలో దుర్బలత్వాలను త్రవ్వడం ద్వారా - గణాంకాల ప్రకారం, ఈ రోజు బాహ్య దాడికి ఇది అత్యంత ఆశాజనకమైన వెక్టర్. తదనంతరం కాల్పులు జరిపిన సినిమా తుపాకీని నేను వెంటనే గమనిస్తాను.

కాబట్టి, మేము వందలకొద్దీ సేవలకు భిన్నంగా రెండు సైట్‌లను కనుగొన్నాము. ఈ సైట్‌లకు ఉమ్మడిగా ఒక విషయం ఉంది: మీరు డొమైన్ ద్వారా ఖచ్చితమైన నెట్‌వర్క్ నిఘాలో పాల్గొనకుండా, ఓపెన్ పోర్ట్‌ల కోసం తలదాచుకుంటే లేదా తెలిసిన IP పరిధిని ఉపయోగించి దుర్బలత్వ స్కానర్‌ను లక్ష్యంగా చేసుకుంటే, ఈ సైట్‌లు స్కానింగ్‌ను తప్పించుకుంటాయి మరియు కేవలం అలా ఉండవు. DNS పేరు తెలియకుండా కనిపిస్తుంది. బహుశా అవి ముందుగా తప్పిపోయి ఉండవచ్చు, మరియు మా ఆటోమేటిక్ సాధనాలు వాటితో ఎటువంటి సమస్యలను కనుగొనలేదు, అవి నేరుగా వనరుకు పంపబడినప్పటికీ.

మార్గం ద్వారా, గతంలో ప్రారంభించిన స్కానర్‌లు సాధారణంగా కనుగొన్న వాటి గురించి. నేను మీకు గుర్తు చేస్తాను: కొంతమందికి, "పెంటెస్ట్" అనేది "ఆటోమేటెడ్ స్కాన్"కి సమానం. కానీ ఈ ప్రాజెక్ట్‌లోని స్కానర్లు ఏమీ చెప్పలేదు. సరే, గరిష్టంగా మీడియం దుర్బలత్వం (తీవ్రత పరంగా 3లో 5) ద్వారా చూపబడింది: కొన్ని సేవలో చెడ్డ TLS సర్టిఫికేట్ లేదా గడువు ముగిసిన ఎన్‌క్రిప్షన్ అల్గారిథమ్‌లు మరియు చాలా సైట్‌లలో క్లిక్‌జాకింగ్. కానీ ఇది మీ లక్ష్యాన్ని చేరుకోదు. బహుశా స్కానర్‌లు ఇక్కడ మరింత ఉపయోగకరంగా ఉండవచ్చు, కానీ నేను మీకు గుర్తు చేస్తాను: కస్టమర్ స్వయంగా అలాంటి ప్రోగ్రామ్‌లను కొనుగోలు చేయగలడు మరియు వాటితో తనను తాను పరీక్షించుకోగలడు మరియు దుర్భరమైన ఫలితాల ద్వారా నిర్ణయించడం ద్వారా అతను ఇప్పటికే తనిఖీ చేసాడు.

"క్రమరహిత" సైట్‌లకు తిరిగి వెళ్దాం. మొదటిది ప్రామాణికం కాని చిరునామాలో స్థానిక వికీ లాంటిది, కానీ ఈ కథనంలో దీన్ని wiki.company[.]ru అని చెప్పండి. ఆమె వెంటనే లాగిన్ మరియు పాస్‌వర్డ్‌ను కోరింది, కానీ బ్రౌజర్‌లోని NTLM ద్వారా. వినియోగదారు కోసం, ఇది వినియోగదారు పేరు మరియు పాస్‌వర్డ్‌ను నమోదు చేయమని అడుగుతున్న సన్యాసి విండో వలె కనిపిస్తుంది. మరియు ఇది చెడ్డ అభ్యాసం.

ఒక చిన్న గమనిక. చుట్టుకొలత వెబ్‌సైట్‌లలోని NTLM అనేక కారణాల వల్ల చెడ్డది. యాక్టివ్ డైరెక్టరీ డొమైన్ పేరు బహిర్గతం కావడం మొదటి కారణం. మా ఉదాహరణలో, ఇది "బాహ్య" DNS పేరు వలె కంపెనీ.ru గా కూడా మారింది. ఇది తెలుసుకోవడం, మీరు ఏదైనా హానికరమైనదాన్ని జాగ్రత్తగా సిద్ధం చేయవచ్చు, తద్వారా ఇది సంస్థ యొక్క డొమైన్ మెషీన్‌లో మాత్రమే అమలు చేయబడుతుంది మరియు కొన్ని శాండ్‌బాక్స్‌లో కాదు. రెండవది, పాస్‌వర్డ్ నమోదు ప్రయత్నాల సంఖ్యను మించకుండా ఖాతాలను బ్లాక్ చేయడంతో సహా "అంతర్గత" నెట్‌వర్క్ విధానాల యొక్క అన్ని లక్షణాలతో NTLM (ఆశ్చర్యం, సరియైనదా?) ద్వారా ధృవీకరణ నేరుగా డొమైన్ కంట్రోలర్ ద్వారా వెళుతుంది. దాడి చేసే వ్యక్తి లాగిన్‌లను కనుగొంటే, అతను వాటి కోసం పాస్‌వర్డ్‌లను ప్రయత్నిస్తాడు. మీరు తప్పు పాస్‌వర్డ్‌లను నమోదు చేయకుండా ఖాతాలను బ్లాక్ చేయడానికి కాన్ఫిగర్ చేయబడితే, అది పని చేస్తుంది మరియు ఖాతా బ్లాక్ చేయబడుతుంది. మూడవది, అటువంటి ప్రమాణీకరణకు రెండవ కారకాన్ని జోడించడం అసాధ్యం. పాఠకులలో ఎవరికైనా ఇప్పటికీ ఎలా తెలిస్తే, దయచేసి నాకు తెలియజేయండి, ఇది నిజంగా ఆసక్తికరమైనది. నాల్గవది, పాస్-ది-హాష్ దాడులకు హాని. వీటన్నింటి నుండి రక్షించడానికి ADFS ఇతర విషయాలతోపాటు కనుగొనబడింది.

మైక్రోసాఫ్ట్ ఉత్పత్తుల యొక్క ఒక చెడ్డ లక్షణం ఉంది: మీరు అటువంటి NTLMని ప్రత్యేకంగా ప్రచురించనప్పటికీ, అది కనీసం OWA మరియు Lyncలో డిఫాల్ట్‌గా ఇన్‌స్టాల్ చేయబడుతుంది.

మార్గం ద్వారా, ఈ కథనం యొక్క రచయిత ఒకసారి అనుకోకుండా అదే పద్ధతిని ఉపయోగించి కేవలం ఒక గంటలో ఒక పెద్ద బ్యాంకు ఉద్యోగుల యొక్క సుమారు 1000 ఖాతాలను బ్లాక్ చేసారు మరియు కొంతవరకు లేతగా కనిపించారు. బ్యాంక్ యొక్క IT సేవలు కూడా లేతగా ఉన్నాయి, కానీ ప్రతిదీ సరిగ్గా మరియు తగినంతగా ముగిసింది, ఈ సమస్యను కనుగొన్న మొదటి వ్యక్తిగా మరియు త్వరిత మరియు నిర్ణయాత్మక పరిష్కారాన్ని ప్రేరేపించినందుకు మేము ప్రశంసించబడ్డాము.

రెండవ సైట్‌లో "స్పష్టంగా ఒక రకమైన చివరి పేరు.company.ru" అనే చిరునామా ఉంది. ఇది Google ద్వారా కనుగొనబడింది, 10వ పేజీలో ఇలా ఉంది. డిజైన్ XNUMXల మధ్యకాలం నుండి రూపొందించబడింది మరియు ఒక గౌరవప్రదమైన వ్యక్తి ప్రధాన పేజీ నుండి దీనిని చూస్తున్నారు, ఇలాంటిది:

ఇక్కడ నేను "హార్ట్ ఆఫ్ ఎ డాగ్" నుండి ఒక స్టిల్ తీసుకున్నాను, కానీ నన్ను నమ్మండి, ఇది అస్పష్టంగా సారూప్యంగా ఉంది, రంగు రూపకల్పన కూడా సారూప్య టోన్‌లలో ఉంది. సైట్‌ని పిలవనివ్వండి preobrazhensky.company.ru.

ఇది యూరాలజిస్ట్ కోసం వ్యక్తిగత వెబ్‌సైట్. హైటెక్ కంపెనీ సబ్‌డొమైన్‌లో యూరాలజిస్ట్ వెబ్‌సైట్ ఏమి చేస్తుందో నేను ఆశ్చర్యపోయాను. Googleని త్వరితగతిన పరిశీలించినప్పుడు, ఈ వైద్యుడు మా కస్టమర్ యొక్క చట్టపరమైన సంస్థలలో ఒకదానికి సహ వ్యవస్థాపకుడు అని మరియు అధీకృత మూలధనంలో సుమారు 1000 రూబిళ్లు కూడా అందించారని తేలింది. సైట్ బహుశా చాలా సంవత్సరాల క్రితం సృష్టించబడింది మరియు కస్టమర్ యొక్క సర్వర్ వనరులు హోస్టింగ్‌గా ఉపయోగించబడ్డాయి. సైట్ చాలా కాలంగా దాని ఔచిత్యాన్ని కోల్పోయింది, కానీ కొన్ని కారణాల వల్ల ఇది చాలా కాలం పాటు పనిచేయకుండా పోయింది.

దుర్బలత్వాల పరంగా, వెబ్‌సైట్ సురక్షితంగా ఉంది. ముందుకు చూస్తే, ఇది స్టాటిక్ సమాచారం యొక్క సమితి అని నేను చెబుతాను - మూత్రపిండాలు మరియు మూత్రాశయాల రూపంలో చొప్పించిన దృష్టాంతాలతో కూడిన సాధారణ html పేజీలు. అటువంటి సైట్ను "విచ్ఛిన్నం" చేయడం నిరుపయోగం.

కానీ కింద ఉన్న వెబ్ సర్వర్ మరింత ఆసక్తికరంగా ఉంది. HTTP సర్వర్ హెడర్‌ని బట్టి చూస్తే, ఇది IIS 6.0ని కలిగి ఉంది, అంటే ఇది Windows 2003ని ఆపరేటింగ్ సిస్టమ్‌గా ఉపయోగించింది. ఈ నిర్దిష్ట యూరాలజిస్ట్ వెబ్‌సైట్, అదే వెబ్ సర్వర్‌లోని ఇతర వర్చువల్ హోస్ట్‌ల వలె కాకుండా, PROPFIND కమాండ్‌కు ప్రతిస్పందించిందని స్కానర్ గతంలో గుర్తించింది, అంటే ఇది WebDAVని నడుపుతోంది. మార్గం ద్వారా, స్కానర్ ఈ సమాచారాన్ని గుర్తు సమాచారంతో అందించింది (స్కానర్ నివేదికల భాషలో, ఇది అతి తక్కువ ప్రమాదం) - ఇటువంటి విషయాలు సాధారణంగా దాటవేయబడతాయి. కలయికలో, ఇది ఆసక్తికరమైన ప్రభావాన్ని ఇచ్చింది, ఇది Googleలో మరొక త్రవ్వకం తర్వాత మాత్రమే వెల్లడైంది: షాడో బ్రోకర్ల సెట్‌తో అనుబంధించబడిన అరుదైన బఫర్ ఓవర్‌ఫ్లో దుర్బలత్వం, అంటే CVE-2017-7269, ఇది ఇప్పటికే సిద్ధంగా ఉన్న దోపిడీని కలిగి ఉంది. మరో మాటలో చెప్పాలంటే, మీకు Windows 2003 ఉంటే మరియు WebDAV IISలో రన్ అవుతున్నట్లయితే ఇబ్బంది ఉంటుంది. 2003లో ఉత్పత్తిలో Windows 2018ని అమలు చేయడం ఒక సమస్య అయినప్పటికీ.

దోపిడీ Metasploitలో ముగిసింది మరియు నియంత్రిత సేవకు DNS అభ్యర్థనను పంపిన లోడ్‌తో వెంటనే పరీక్షించబడింది - Burp Collaborator సాంప్రదాయకంగా DNS అభ్యర్థనలను క్యాచ్ చేయడానికి ఉపయోగించబడుతుంది. నా ఆశ్చర్యానికి, ఇది మొదటిసారి పని చేసింది: DNS నాకౌట్ అందుకుంది. తర్వాత, పోర్ట్ 80 ద్వారా బ్యాక్‌కనెక్ట్‌ను సృష్టించే ప్రయత్నం జరిగింది (అంటే, బాధితుడు హోస్ట్‌లో cmd.exeకి యాక్సెస్‌తో సర్వర్ నుండి దాడి చేసే వ్యక్తికి నెట్‌వర్క్ కనెక్షన్), కానీ అప్పుడు ఒక అపజయం జరిగింది. కనెక్షన్ రాలేదు, మరియు సైట్‌ను ఉపయోగించడానికి మూడవ ప్రయత్నం తర్వాత, అన్ని ఆసక్తికరమైన చిత్రాలతో పాటు, ఎప్పటికీ అదృశ్యమైంది.

సాధారణంగా దీని తర్వాత "కస్టమర్, మేల్కొలపండి, మేము ప్రతిదీ వదిలివేసాము" అనే శైలిలో ఒక లేఖ వస్తుంది. కానీ సైట్‌కు వ్యాపార ప్రక్రియలతో ఎటువంటి సంబంధం లేదని మరియు మొత్తం సర్వర్‌లాగా ఎటువంటి కారణం లేకుండానే పని చేస్తుందని మరియు ఈ వనరును మనకు నచ్చిన విధంగా ఉపయోగించుకోవచ్చని మాకు చెప్పబడింది.
దాదాపు ఒక రోజు తర్వాత సైట్ అకస్మాత్తుగా దాని స్వంత పని చేయడం ప్రారంభించింది. IIS 6.0లో WebDAV నుండి బెంచ్‌ను రూపొందించినందున, ప్రతి 30 గంటలకు IIS వర్కర్ ప్రాసెస్‌లను పునఃప్రారంభించడమే డిఫాల్ట్ సెట్టింగ్ అని నేను కనుగొన్నాను. అంటే, నియంత్రణ షెల్‌కోడ్ నుండి నిష్క్రమించినప్పుడు, IIS వర్కర్ ప్రక్రియ ముగిసింది, తర్వాత అది రెండుసార్లు పునఃప్రారంభించబడింది మరియు తర్వాత 30 గంటల పాటు విశ్రాంతి తీసుకోబడింది.

tcpకి బ్యాక్‌కనెక్ట్ మొదటిసారి విఫలమైనందున, నేను ఈ సమస్యను క్లోజ్డ్ పోర్ట్‌కి ఆపాదించాను. అంటే, అవుట్‌గోయింగ్ కనెక్షన్‌లు బయటికి వెళ్లడానికి అనుమతించని ఒక రకమైన ఫైర్‌వాల్ ఉనికిని అతను ఊహించాడు. నేను అనేక tcp మరియు udp పోర్ట్‌ల ద్వారా శోధించిన షెల్‌కోడ్‌లను అమలు చేయడం ప్రారంభించాను, ఎటువంటి ప్రభావం లేదు. Metasploit నుండి http(s) ద్వారా రివర్స్ కనెక్షన్ లోడ్‌లు పని చేయలేదు - meterpreter/reverse_http(s). అకస్మాత్తుగా, అదే పోర్ట్ 80కి కనెక్షన్ ఏర్పాటు చేయబడింది, కానీ వెంటనే పడిపోయింది. మీటర్‌ప్రెటర్ ట్రాఫిక్‌ని ఇష్టపడని ఇప్పటికీ ఊహాత్మక IPS చర్యకు నేను దీనిని ఆపాదించాను. పోర్ట్ 80కి స్వచ్ఛమైన tcp కనెక్షన్ జరగలేదు, కానీ http కనెక్షన్ జరిగింది, సిస్టమ్‌లో http ప్రాక్సీ ఏదో విధంగా కాన్ఫిగర్ చేయబడిందని నేను నిర్ధారించాను.

నేను DNS ద్వారా మీటర్‌ప్రెటర్‌ని కూడా ప్రయత్నించాను (ధన్యవాదాలు d00kie మీ ప్రయత్నాల కోసం, చాలా ప్రాజెక్ట్‌లను సేవ్ చేసారు), మొదటి విజయాన్ని గుర్తుచేసుకున్నారు, కానీ ఇది స్టాండ్‌లో కూడా పని చేయలేదు - షెల్‌కోడ్ ఈ దుర్బలత్వానికి చాలా పెద్దది.

వాస్తవానికి, ఇది ఇలా ఉంది: 3 నిమిషాల్లో 4-5 దాడులకు ప్రయత్నాలు, ఆపై 30 గంటలు వేచి ఉన్నాయి. ఇలా వరుసగా మూడు వారాలు. సమయం వృధా చేసుకోకుండా రిమైండర్ కూడా పెట్టాను. అదనంగా, పరీక్ష మరియు ఉత్పత్తి పరిసరాల ప్రవర్తనలో తేడా ఉంది: ఈ దుర్బలత్వం కోసం రెండు సారూప్య దోపిడీలు ఉన్నాయి, ఒకటి Metasploit నుండి, రెండవది ఇంటర్నెట్ నుండి, షాడో బ్రోకర్స్ వెర్షన్ నుండి మార్చబడింది. కాబట్టి, పోరాటంలో మెటాస్ప్లోయిట్ మాత్రమే పరీక్షించబడింది మరియు రెండవది మాత్రమే బెంచ్‌పై పరీక్షించబడింది, ఇది డీబగ్గింగ్‌ను మరింత కష్టతరం చేసింది మరియు మెదడును దెబ్బతీసింది.

చివరికి, http ద్వారా ఇచ్చిన సర్వర్ నుండి exe ఫైల్‌ను డౌన్‌లోడ్ చేసి, లక్ష్య సిస్టమ్‌లో ప్రారంభించిన షెల్‌కోడ్ ప్రభావవంతంగా నిరూపించబడింది. షెల్‌కోడ్ సరిపోయేంత చిన్నది, కానీ కనీసం అది పని చేసింది. సర్వర్ TCP ట్రాఫిక్‌ని అస్సలు ఇష్టపడనందున మరియు మీటర్‌ప్రెటర్ ఉనికి కోసం http(లు) తనిఖీ చేయబడినందున, ఈ షెల్‌కోడ్ ద్వారా DNS-meterpreterని కలిగి ఉన్న exe ఫైల్‌ను డౌన్‌లోడ్ చేయడం వేగవంతమైన మార్గం అని నేను నిర్ణయించుకున్నాను.

ఇక్కడ మళ్ళీ ఒక సమస్య తలెత్తింది: exe ఫైల్‌ను డౌన్‌లోడ్ చేస్తున్నప్పుడు మరియు ప్రయత్నాలు చూపినట్లుగా, ఏది ఉన్నా, డౌన్‌లోడ్ అంతరాయం కలిగింది. మళ్ళీ, నా సర్వర్ మరియు యూరాలజిస్ట్ మధ్య కొన్ని భద్రతా పరికరం లోపల exe ఉన్న http ట్రాఫిక్‌ని ఇష్టపడలేదు. "శీఘ్ర" పరిష్కారం షెల్‌కోడ్‌ను మార్చడం అని అనిపించింది, తద్వారా ఇది ఫ్లైలో http ట్రాఫిక్‌ను అస్పష్టం చేస్తుంది, తద్వారా exeకి బదులుగా వియుక్త బైనరీ డేటా బదిలీ చేయబడుతుంది. చివరగా, దాడి విజయవంతమైంది, సన్నని DNS ఛానెల్ ద్వారా నియంత్రణ పొందబడింది:

నాకు చాలా ప్రాథమిక IIS వర్క్‌ఫ్లో హక్కులు ఉన్నాయని వెంటనే స్పష్టమైంది, ఇది నన్ను ఏమీ చేయనివ్వదు. Metasploit కన్సోల్‌లో ఇది ఇలా ఉంది:

అన్ని పెంటెస్ట్ మెథడాలజీలు యాక్సెస్ పొందేటప్పుడు మీరు హక్కులను పెంచుకోవాలని గట్టిగా సూచిస్తున్నాయి. నేను సాధారణంగా దీన్ని స్థానికంగా చేయను, ఎందుకంటే మొట్టమొదటి యాక్సెస్ కేవలం నెట్‌వర్క్ ఎంట్రీ పాయింట్‌గా కనిపిస్తుంది మరియు అదే నెట్‌వర్క్‌లో మరొక మెషీన్‌ను రాజీ చేయడం సాధారణంగా ఇప్పటికే ఉన్న హోస్ట్‌పై అధికారాలను పెంచడం కంటే సులభం మరియు వేగంగా ఉంటుంది. కానీ ఇక్కడ అలా కాదు, ఎందుకంటే DNS ఛానెల్ చాలా ఇరుకైనది మరియు ఇది ట్రాఫిక్‌ను క్లియర్ చేయడానికి అనుమతించదు.

ప్రసిద్ధ MS2003-17 దుర్బలత్వం కోసం ఈ Windows 010 సర్వర్ రిపేర్ చేయబడలేదని భావించి, నేను లోకల్ హోస్ట్‌లోని మీటర్‌ప్రెటర్ DNS టన్నెల్ ద్వారా పోర్ట్ 445/TCPకి టన్నెల్ ట్రాఫిక్‌ను చేస్తాను (అవును, ఇది కూడా సాధ్యమే) మరియు మునుపు డౌన్‌లోడ్ చేసిన exeని అమలు చేయడానికి ప్రయత్నిస్తాను దుర్బలత్వం. దాడి పని చేస్తుంది, నేను రెండవ కనెక్షన్‌ని అందుకుంటాను, కానీ SYSTEM హక్కులతో.

వారు ఇప్పటికీ MS17-010 నుండి సర్వర్‌ను రక్షించడానికి ప్రయత్నించడం ఆసక్తికరంగా ఉంది - ఇది బాహ్య ఇంటర్‌ఫేస్‌లో హాని కలిగించే నెట్‌వర్క్ సేవలు నిలిపివేయబడ్డాయి. ఇది నెట్‌వర్క్‌లోని దాడుల నుండి రక్షణ కల్పిస్తుంది, కానీ మీరు లోకల్ హోస్ట్‌లో SMBని త్వరగా ఆఫ్ చేయలేరు కాబట్టి, లోకల్ హోస్ట్‌లో నుండి దాడి పని చేస్తుంది.

తరువాత, కొత్త ఆసక్తికరమైన వివరాలు వెల్లడి చేయబడ్డాయి:

1. సిస్టమ్ హక్కులను కలిగి ఉన్నందున, మీరు TCP ద్వారా సులభంగా బ్యాక్‌కనెక్షన్‌ని ఏర్పాటు చేసుకోవచ్చు. సహజంగానే, ప్రత్యక్ష TCPని నిలిపివేయడం అనేది పరిమిత IIS వినియోగదారుకు ఖచ్చితంగా సమస్య. స్పాయిలర్: IIS వినియోగదారు ట్రాఫిక్ రెండు దిశలలో స్థానిక ISA ప్రాక్సీలో ఏదో విధంగా చుట్టబడింది. ఇది ఎలా సరిగ్గా పని చేస్తుంది, నేను పునరుత్పత్తి చేయలేదు.
2. నేను నిర్దిష్ట “DMZ”లో ఉన్నాను (మరియు ఇది యాక్టివ్ డైరెక్టరీ డొమైన్ కాదు, వర్క్‌గ్రూప్) - ఇది లాజికల్‌గా అనిపిస్తుంది. కానీ ఊహించిన ప్రైవేట్ ("బూడిద") IP చిరునామాకు బదులుగా, నేను పూర్తిగా "తెలుపు" IP చిరునామాను కలిగి ఉన్నాను, నేను ఇంతకు ముందు దాడి చేసిన దాని వలెనే ఉంది. అంటే 4 నుండి సిస్కో మాన్యువల్స్‌లో చిత్రీకరించబడినట్లుగా, స్కీమ్ ప్రకారం NAT లేకుండా 128 "తెలుపు" చిరునామాల కోసం DMZ జోన్‌ను నిర్వహించగలిగేంత స్థోమత IPv2005 ప్రపంచంలో కంపెనీ చాలా పాతది.

సర్వర్ పాతది కాబట్టి, Mimikatz మెమరీ నుండి నేరుగా పని చేయడానికి హామీ ఇవ్వబడింది:

నేను లోకల్ అడ్మినిస్ట్రేటర్ పాస్‌వర్డ్‌ను పొందాను, TCP ద్వారా టన్నెల్ RDP ట్రాఫిక్‌ని పొందాను మరియు హాయిగా ఉండే డెస్క్‌టాప్‌లోకి లాగిన్ అవుతాను. నేను సర్వర్‌తో నాకు కావలసినది చేయగలను కాబట్టి, నేను యాంటీవైరస్‌ని తీసివేసాను మరియు TCP పోర్ట్‌లు 80 మరియు 443 ద్వారా మాత్రమే సర్వర్ ఇంటర్నెట్ నుండి యాక్సెస్ చేయగలదని మరియు 443 బిజీగా లేదని కనుగొన్నాను. నేను 443లో OpenVPN సర్వర్‌ని సెటప్ చేసాను, నా VPN ట్రాఫిక్ కోసం NAT ఫంక్షన్‌లను జోడించాను మరియు నా OpenVPN ద్వారా అపరిమిత రూపంలో DMZ నెట్‌వర్క్‌కి ప్రత్యక్ష ప్రాప్యతను పొందుతాను. ISA, కొన్ని నాన్-డిసేబుల్ IPS ఫంక్షన్‌లను కలిగి ఉండటం గమనార్హం, పోర్ట్ స్కానింగ్‌తో నా ట్రాఫిక్‌ను బ్లాక్ చేసింది, దీని కోసం దీనిని సరళమైన మరియు మరింత కంప్లైంట్ RRASతో భర్తీ చేయాల్సి వచ్చింది. కాబట్టి పెంటెస్టర్లు కొన్నిసార్లు అన్ని రకాల విషయాలను నిర్వహించవలసి ఉంటుంది.

శ్రద్ధగల పాఠకుడు ఇలా అడుగుతాడు: "రెండవ సైట్ గురించి ఏమిటి - NTLM ప్రమాణీకరణతో కూడిన వికీ, దాని గురించి చాలా వ్రాయబడింది?" దీని గురించి మరింత తరువాత.

పార్ట్ 2. ఇంకా గుప్తీకరించడం లేదా? అప్పుడు మేము ఇప్పటికే ఇక్కడకు వస్తున్నాము

కాబట్టి, DMZ నెట్‌వర్క్ విభాగానికి యాక్సెస్ ఉంది. మీరు డొమైన్ అడ్మినిస్ట్రేటర్ వద్దకు వెళ్లాలి. DMZ సెగ్మెంట్‌లోని సేవల భద్రతను స్వయంచాలకంగా తనిఖీ చేయడం గుర్తుంచుకోవలసిన మొదటి విషయం, ప్రత్యేకించి వాటిలో అనేకం ఇప్పుడు పరిశోధన కోసం తెరిచి ఉన్నాయి. చొచ్చుకుపోయే పరీక్ష సమయంలో ఒక సాధారణ చిత్రం: అంతర్గత సేవల కంటే బాహ్య చుట్టుకొలత మెరుగ్గా రక్షించబడుతుంది మరియు పెద్ద మౌలిక సదుపాయాలలో ఏదైనా ప్రాప్యతను పొందినప్పుడు, ఈ డొమైన్ ప్రారంభం కావడం వల్ల మాత్రమే డొమైన్‌లో పొడిగించిన హక్కులను పొందడం చాలా సులభం. సాధనాలకు అందుబాటులో ఉంటుంది మరియు రెండవది, అనేక వేల హోస్ట్‌లతో కూడిన మౌలిక సదుపాయాలలో, ఎల్లప్పుడూ కొన్ని క్లిష్టమైన సమస్యలు ఉంటాయి.

నేను OpenVPN టన్నెల్ ద్వారా DMZ ద్వారా స్కానర్‌లను ఛార్జ్ చేస్తాను మరియు వేచి ఉండండి. నేను నివేదికను తెరుస్తాను - మళ్ళీ ఏమీ తీవ్రమైనది కాదు, స్పష్టంగా ఎవరైనా నా ముందు అదే పద్ధతి ద్వారా వెళ్ళారు. DMZ నెట్‌వర్క్‌లోని హోస్ట్‌లు ఎలా కమ్యూనికేట్ చేస్తారో పరిశీలించడం తదుపరి దశ. దీన్ని చేయడానికి, ముందుగా సాధారణ వైర్‌షార్క్‌ను ప్రారంభించండి మరియు ప్రసార అభ్యర్థనలను వినండి, ప్రధానంగా ARP. రోజంతా ARP ప్యాకెట్లు సేకరించబడ్డాయి. ఈ విభాగంలో అనేక గేట్‌వేలు ఉపయోగించబడుతున్నాయని తేలింది. ఇది తరువాత ఉపయోగపడుతుంది. ARP అభ్యర్థనలు మరియు ప్రతిస్పందనలు మరియు పోర్ట్ స్కానింగ్ డేటాపై డేటాను కలపడం ద్వారా, వెబ్ మరియు మెయిల్ వంటి గతంలో తెలిసిన సేవలతో పాటు స్థానిక నెట్‌వర్క్ లోపల నుండి వినియోగదారు ట్రాఫిక్ యొక్క నిష్క్రమణ పాయింట్లను నేను కనుగొన్నాను.

ప్రస్తుతానికి నాకు ఇతర సిస్టమ్‌లకు ఎలాంటి యాక్సెస్ లేదు మరియు కార్పొరేట్ సేవల కోసం ఒక్క ఖాతా కూడా లేదు కాబట్టి, ARP స్పూఫింగ్‌ని ఉపయోగించి ట్రాఫిక్ నుండి కనీసం కొంత ఖాతాను అయినా తొలగించాలని నిర్ణయించుకున్నాను.

కెయిన్&అబెల్ యూరాలజిస్ట్ సర్వర్‌లో ప్రారంభించబడింది. గుర్తించబడిన ట్రాఫిక్ ప్రవాహాలను పరిగణనలోకి తీసుకుని, మనిషి-ఇన్-ది-మిడిల్ దాడికి అత్యంత ఆశాజనకమైన జంటలు ఎంపిక చేయబడ్డాయి, ఆపై సర్వర్‌ను రీబూట్ చేయడానికి టైమర్‌తో 5-10 నిమిషాల పాటు స్వల్పకాలిక ప్రయోగం ద్వారా కొంత నెట్‌వర్క్ ట్రాఫిక్ స్వీకరించబడింది. గడ్డకట్టే సందర్భంలో. జోక్‌లో వలె, రెండు వార్తలు ఉన్నాయి:

1. బాగుంది: చాలా ఆధారాలు పట్టుబడ్డాయి మరియు మొత్తం దాడి పనిచేసింది.
2. చెడు: అన్ని ఆధారాలు కస్టమర్ యొక్క సొంత క్లయింట్‌ల నుండి వచ్చినవి. మద్దతు సేవలను అందిస్తున్నప్పుడు, ఎల్లప్పుడూ ట్రాఫిక్ ఎన్‌క్రిప్షన్ కాన్ఫిగర్ చేయని క్లయింట్‌ల సేవలకు కస్టమర్ నిపుణులు కనెక్ట్ అయ్యారు.

తత్ఫలితంగా, నేను ప్రాజెక్ట్ సందర్భంలో పనికిరాని చాలా ఆధారాలను పొందాను, కానీ దాడి ప్రమాదం యొక్క ప్రదర్శనగా ఖచ్చితంగా ఆసక్తికరంగా ఉంది. టెల్నెట్‌తో ఉన్న పెద్ద కంపెనీల సరిహద్దు రౌటర్‌లు, డీబగ్ http పోర్ట్‌లు మొత్తం డేటాతో అంతర్గత CRMకి ఫార్వార్డ్ చేయబడ్డాయి, స్థానిక నెట్‌వర్క్‌లో Windows XP నుండి RDPకి నేరుగా యాక్సెస్ మరియు ఇతర అస్పష్టత. ఇది ఇలా మారింది MITER మ్యాట్రిక్స్ ప్రకారం సరఫరా గొలుసు రాజీ.

నేను ట్రాఫిక్ నుండి లేఖలను సేకరించడానికి ఒక తమాషా అవకాశాన్ని కూడా కనుగొన్నాను, ఇలాంటిదే. ఇది మా కస్టమర్ నుండి అతని క్లయింట్ యొక్క SMTP పోర్ట్‌కు మళ్లీ ఎన్‌క్రిప్షన్ లేకుండా వెళ్లిన రెడీమేడ్ లేఖకు ఉదాహరణ. ఒక నిర్దిష్ట ఆండ్రీ తన నేమ్‌సేక్‌ని డాక్యుమెంటేషన్‌ను మళ్లీ పంపమని అడుగుతాడు మరియు అది ఒక ప్రతిస్పందన లేఖలో లాగిన్, పాస్‌వర్డ్ మరియు లింక్‌తో క్లౌడ్ డిస్క్‌కి అప్‌లోడ్ చేయబడుతుంది:

అన్ని సేవలను గుప్తీకరించడానికి ఇది మరొక రిమైండర్. మీ డేటాను ప్రత్యేకంగా ఎవరు మరియు ఎప్పుడు చదివి, ఉపయోగిస్తారో తెలియదు - ప్రొవైడర్, మరొక కంపెనీ సిస్టమ్ అడ్మినిస్ట్రేటర్ లేదా అలాంటి పెంటెస్టర్. చాలా మంది వ్యక్తులు ఎన్‌క్రిప్ట్ చేయని ట్రాఫిక్‌ను అడ్డుకోగలరనే వాస్తవం గురించి నేను మౌనంగా ఉన్నాను.

స్పష్టమైన విజయం ఉన్నప్పటికీ, ఇది మమ్మల్ని లక్ష్యానికి దగ్గరగా తీసుకురాలేదు. చాలా సేపు కూర్చుని విలువైన సమాచారాన్ని బయటకు తీయడం సాధ్యమైంది, కానీ అది అక్కడ కనిపించడం వాస్తవం కాదు మరియు నెట్‌వర్క్ యొక్క సమగ్రత పరంగా దాడి చాలా ప్రమాదకరం.

సేవల్లోకి మరొక త్రవ్విన తర్వాత, ఒక ఆసక్తికరమైన ఆలోచన గుర్తుకు వచ్చింది. రెస్పాండర్ అని పిలువబడే అటువంటి యుటిలిటీ ఉంది (ఈ పేరుతో ఉపయోగం యొక్క ఉదాహరణలను కనుగొనడం సులభం), ఇది ప్రసార అభ్యర్థనలను "విషం" చేయడం ద్వారా, SMB, HTTP, LDAP మొదలైన వివిధ ప్రోటోకాల్‌ల ద్వారా కనెక్షన్‌లను రేకెత్తిస్తుంది. వివిధ మార్గాల్లో, ఆపై ప్రామాణీకరించడానికి కనెక్ట్ అయిన ప్రతి ఒక్కరినీ అడుగుతుంది మరియు NTLM ద్వారా మరియు బాధితునికి పారదర్శక రీతిలో ప్రామాణీకరణ జరిగేలా దాన్ని సెటప్ చేస్తుంది. చాలా తరచుగా, దాడి చేసే వ్యక్తి ఈ విధంగా NetNTLMv2 హ్యాండ్‌షేక్‌లను సేకరిస్తాడు మరియు వాటి నుండి, నిఘంటువును ఉపయోగించి, వినియోగదారు డొమైన్ పాస్‌వర్డ్‌లను త్వరగా రికవర్ చేస్తాడు. ఇక్కడ నేను అలాంటిదే కోరుకున్నాను, కానీ వినియోగదారులు "గోడ వెనుక" కూర్చున్నారు, లేదా బదులుగా, వారు ఫైర్‌వాల్ ద్వారా వేరు చేయబడి, బ్లూ కోట్ ప్రాక్సీ క్లస్టర్ ద్వారా వెబ్‌ను యాక్సెస్ చేసారు.

గుర్తుంచుకోండి, యాక్టివ్ డైరెక్టరీ డొమైన్ పేరు "బాహ్య" డొమైన్‌తో సమానంగా ఉందని నేను పేర్కొన్నాను, అంటే అది company.ru? కాబట్టి, Windows, మరింత ఖచ్చితంగా ఇంటర్నెట్ ఎక్స్‌ప్లోరర్ (మరియు ఎడ్జ్ మరియు క్రోమ్), సైట్ ఏదైనా “ఇంట్రానెట్ జోన్”లో ఉందని వారు భావిస్తే, NTLM ద్వారా HTTPలో పారదర్శకంగా ప్రామాణీకరించడానికి వినియోగదారుని అనుమతిస్తుంది. "ఇంట్రానెట్" సంకేతాలలో ఒకటి "బూడిద" IP చిరునామా లేదా చిన్న DNS పేరు, అంటే చుక్కలు లేకుండా యాక్సెస్ చేయడం. వారు "తెలుపు" IP మరియు DNS పేరుతో preobrazhensky.company.ruతో సర్వర్‌ను కలిగి ఉన్నారు మరియు డొమైన్ మెషీన్‌లు సాధారణంగా యాక్టివ్ డైరెక్టరీ డొమైన్ ప్రత్యయాన్ని DHCP ద్వారా సరళీకృత పేరు నమోదు కోసం స్వీకరిస్తాయి కాబట్టి, వారు చిరునామా పట్టీలో URLని మాత్రమే వ్రాయవలసి ఉంటుంది. preobrazhensky, తద్వారా వారు రాజీపడిన యూరాలజిస్ట్ సర్వర్‌కు సరైన మార్గాన్ని కనుగొంటారు, దీనిని ఇప్పుడు "ఇంట్రానెట్" అని పిలుస్తారని మర్చిపోకుండా. అంటే, అదే సమయంలో అతనికి తెలియకుండానే వినియోగదారు యొక్క NTLM-హ్యాండ్‌షేక్‌ని నాకు ఇవ్వడం. క్లయింట్ బ్రౌజర్‌లు ఈ సర్వర్‌ను సంప్రదించాల్సిన తక్షణ అవసరం గురించి ఆలోచించమని బలవంతం చేయడమే మిగిలి ఉంది.

అద్భుతమైన ఇంటర్‌సెప్టర్-ఎన్‌జి యుటిలిటీ రక్షించబడింది (ధన్యవాదాలు అడ్డగించువాడు) ఇది మీరు ప్రయాణంలో ట్రాఫిక్‌ని మార్చడానికి అనుమతించింది మరియు Windows 2003లో గొప్పగా పనిచేసింది. ట్రాఫిక్ ప్రవాహంలో కేవలం JavaScript ఫైల్‌లను మాత్రమే సవరించడానికి ఇది ప్రత్యేక కార్యాచరణను కలిగి ఉంది. ఒక విధమైన భారీ క్రాస్-సైట్ స్క్రిప్టింగ్ ప్లాన్ చేయబడింది.

బ్లూ కోట్ ప్రాక్సీలు, దీని ద్వారా వినియోగదారులు గ్లోబల్ WEBని యాక్సెస్ చేస్తారు, క్రమానుగతంగా స్టాటిక్ కంటెంట్‌ను కాష్ చేస్తారు. ట్రాఫిక్‌ను అడ్డుకోవడం ద్వారా, వారు గడియారం చుట్టూ పనిచేస్తున్నారని స్పష్టమైంది, పీక్ అవర్స్‌లో కంటెంట్ ప్రదర్శనను వేగవంతం చేయడానికి తరచుగా ఉపయోగించే స్టాటిక్‌ను అనంతంగా అభ్యర్థిస్తున్నారు. అదనంగా, BlueCoat ఒక నిర్దిష్ట వినియోగదారు-ఏజెంట్‌ను కలిగి ఉంది, ఇది నిజమైన వినియోగదారు నుండి దానిని స్పష్టంగా గుర్తించింది.

జావాస్క్రిప్ట్ సిద్ధం చేయబడింది, ఇది ఇంటర్‌సెప్టర్-ఎన్‌జిని ఉపయోగించి, బ్లూ కోట్ కోసం JS ఫైల్‌లతో ప్రతి ప్రతిస్పందన కోసం రాత్రి ఒక గంట పాటు అమలు చేయబడింది. స్క్రిప్ట్ కింది వాటిని చేసింది:

• వినియోగదారు ఏజెంట్ ద్వారా ప్రస్తుత బ్రౌజర్‌ని నిర్ణయించారు. ఇది Internet Explorer, Edge లేదా Chrome అయితే, అది పని చేస్తూనే ఉంది.
• పేజీ యొక్క DOM ఏర్పడే వరకు నేను వేచి ఉన్నాను.
• ఫారమ్ యొక్క src లక్షణంతో DOMలో ఒక అదృశ్య చిత్రం చొప్పించబడింది preobrazhensky:8080/NNNNNNN.png, ఇక్కడ NNN అనేది ఏకపక్ష సంఖ్యలు కాబట్టి బ్లూకోట్ దానిని కాష్ చేయదు.
• ఇంజెక్షన్ పూర్తయిందని మరియు ఇకపై చిత్రాలను చొప్పించాల్సిన అవసరం లేదని సూచించడానికి గ్లోబల్ ఫ్లాగ్ వేరియబుల్‌ని సెట్ చేయండి.

బ్రౌజర్ ఈ చిత్రాన్ని లోడ్ చేయడానికి ప్రయత్నించింది; రాజీపడిన సర్వర్‌లోని పోర్ట్ 8080లో, TCP టన్నెల్ నా ల్యాప్‌టాప్‌కు దాని కోసం వేచి ఉంది, అదే రెస్పాండర్ రన్ అవుతోంది, బ్రౌజర్ NTLM ద్వారా లాగిన్ అవ్వాలి.

రెస్పాండర్ లాగ్‌ల ద్వారా నిర్ణయించడం ద్వారా, ప్రజలు ఉదయం పనికి వచ్చారు, వారి వర్క్‌స్టేషన్‌లను ఆన్ చేసారు, ఆపై సామూహికంగా మరియు గుర్తించబడకుండా యూరాలజిస్ట్ సర్వర్‌ను సందర్శించడం ప్రారంభించారు, NTLM హ్యాండ్‌షేక్‌లను "డ్రెయిన్" చేయడం మర్చిపోకుండా. కరచాలనాలు రోజంతా కురిశాయి మరియు పాస్‌వర్డ్‌లను తిరిగి పొందేందుకు స్పష్టమైన విజయవంతమైన దాడి కోసం మెటీరియల్‌ని స్పష్టంగా సేకరించారు. ప్రతిస్పందన లాగ్‌లు ఇలా ఉన్నాయి:

వినియోగదారులు యూరాలజిస్ట్ సర్వర్‌కు భారీ రహస్య సందర్శనలు

ఈ మొత్తం కథ "అంతా బాగానే ఉంది, కానీ అప్పుడు ఒక బమ్మర్ ఉంది, తరువాత అధిగమించబడింది, ఆపై ప్రతిదీ విజయవంతమైంది" అనే సూత్రంపై నిర్మించబడిందని మీరు ఇప్పటికే గమనించి ఉండవచ్చు. కాబట్టి, ఇక్కడ ఒక బమ్మర్ ఉంది. యాభై ప్రత్యేకమైన హ్యాండ్‌షేక్‌లలో, ఒక్కటి కూడా బహిర్గతం కాలేదు. మరియు డెడ్ ప్రాసెసర్ ఉన్న ల్యాప్‌టాప్‌లో కూడా, ఈ NTLMv2 హ్యాండ్‌షేక్‌లు సెకనుకు అనేక వందల మిలియన్ల ప్రయత్నాల వేగంతో ప్రాసెస్ చేయబడతాయనే వాస్తవాన్ని ఇది పరిగణనలోకి తీసుకుంటుంది.

నేను పాస్‌వర్డ్ మ్యుటేషన్ టెక్నిక్‌లు, వీడియో కార్డ్, మందమైన డిక్షనరీని ఉపయోగించుకుని వేచి ఉండాల్సి వచ్చింది. చాలా కాలం తర్వాత, "Q11111111....1111111q" ఫారమ్ యొక్క పాస్‌వర్డ్‌లతో అనేక ఖాతాలు వెల్లడయ్యాయి, ఇది వినియోగదారులందరూ ఒకప్పుడు వేర్వేరు అక్షరాలతో చాలా పొడవైన పాస్‌వర్డ్‌తో ముందుకు రావాలని బలవంతం చేయబడ్డారని సూచిస్తుంది, అది కూడా సంక్లిష్టంగా ఉంటుంది. కానీ మీరు అనుభవజ్ఞుడైన వినియోగదారుని మోసం చేయలేరు మరియు ఈ విధంగా అతను తనను తాను గుర్తుంచుకోవడం సులభం చేసుకున్నాడు. మొత్తంగా, సుమారు 5 ఖాతాలు రాజీ పడ్డాయి మరియు వాటిలో ఒకటి మాత్రమే సేవలకు విలువైన హక్కులను కలిగి ఉంది.

పార్ట్ 3. Roskomnadzor తిరిగి కొట్టాడు

కాబట్టి, మొదటి డొమైన్ ఖాతాలు స్వీకరించబడ్డాయి. మీరు సుదీర్ఘంగా చదివినప్పటి నుండి ఈ సమయానికి నిద్రలోకి జారకపోతే, రెండవ అంశం ప్రమాణీకరణ అవసరం లేని సేవను నేను ప్రస్తావించినట్లు మీరు బహుశా గుర్తుంచుకోవచ్చు: ఇది NTLM ప్రమాణీకరణతో కూడిన వికీ. వాస్తవానికి, మొదట చేయవలసినది అక్కడ ప్రవేశించడం. అంతర్గత నాలెడ్జ్ బేస్ లోకి త్రవ్వడం త్వరగా ఫలితాలను తెచ్చింది:

• కంపెనీ స్థానిక నెట్‌వర్క్‌కు యాక్సెస్‌తో డొమైన్ ఖాతాలను ఉపయోగించి ప్రామాణీకరణతో WiFi నెట్‌వర్క్‌ను కలిగి ఉంది. ప్రస్తుత డేటా సెట్‌తో, ఇది ఇప్పటికే పని చేసే దాడి వెక్టర్, కానీ మీరు మీ పాదాలతో కార్యాలయానికి వెళ్లి కస్టమర్ కార్యాలయ భూభాగంలో ఎక్కడో ఉండాలి.
• వినియోగదారు స్థానిక నెట్‌వర్క్‌లో ఉంటే మరియు అతని డొమైన్ లాగిన్ మరియు పాస్‌వర్డ్‌ను నమ్మకంగా గుర్తుంచుకుంటే “సెకండ్ ఫ్యాక్టర్” ప్రామాణీకరణ పరికరాన్ని స్వతంత్రంగా నమోదు చేసుకోవడానికి... అనుమతించే సేవ ఉన్న సూచనను నేను కనుగొన్నాను. ఈ సందర్భంలో, "లోపల" మరియు "బయట" వినియోగదారుకు ఈ సేవ యొక్క పోర్ట్ యొక్క ప్రాప్యత ద్వారా నిర్ణయించబడతాయి. పోర్ట్ ఇంటర్నెట్ నుండి అందుబాటులో లేదు, కానీ DMZ ద్వారా చాలా అందుబాటులో ఉంది.

వాస్తవానికి, నా ఫోన్‌లోని అప్లికేషన్ రూపంలో రాజీపడిన ఖాతాకు వెంటనే “రెండవ అంశం” జోడించబడింది. చర్య కోసం "ఆమోదించు"/"నిరాకరించు" బటన్‌లతో ఫోన్‌కి పుష్ అభ్యర్థనను బిగ్గరగా పంపగల ప్రోగ్రామ్ ఉంది లేదా తదుపరి స్వతంత్ర ప్రవేశం కోసం స్క్రీన్‌పై OTP కోడ్‌ను నిశ్శబ్దంగా చూపుతుంది. అంతేకాకుండా, సూచనల ద్వారా మొదటి పద్ధతి మాత్రమే సరైనదిగా భావించబడింది, కానీ OTP పద్ధతి వలె కాకుండా అది పని చేయలేదు.

"సెకండ్ ఫ్యాక్టర్" విచ్ఛిన్నం కావడంతో, నేను సిట్రిక్స్ నెట్‌స్కేలర్ గేట్‌వేలో Outlook వెబ్ యాక్సెస్ మెయిల్ మరియు రిమోట్ యాక్సెస్‌ని యాక్సెస్ చేయగలిగాను. Outlookలోని మెయిల్‌లో ఆశ్చర్యం ఉంది:

ఈ అరుదైన షాట్‌లో పెంటెస్టర్‌లకు రోస్కోమ్నాడ్జోర్ ఎలా సహాయపడుతుందో మీరు చూడవచ్చు

టెలిగ్రామ్ యొక్క ప్రసిద్ధ "అభిమాని" నిరోధించబడిన మొదటి నెలలు ఇవి, వేలాది చిరునామాలతో మొత్తం నెట్‌వర్క్‌లు యాక్సెస్ నుండి నిర్దాక్షిణ్యంగా అదృశ్యమయ్యాయి. పుష్ ఎందుకు వెంటనే పని చేయలేదు మరియు నా "బాధితురాలు" ఎందుకు అలారం వినిపించలేదు ఎందుకంటే వారు ఆమె ఖాతాను తెరిచి ఉన్న సమయంలో ఉపయోగించడం ప్రారంభించారు.

సిట్రిక్స్ నెట్‌స్కేలర్‌తో పరిచయం ఉన్న ఎవరైనా ఇది సాధారణంగా పిక్చర్ ఇంటర్‌ఫేస్‌ను మాత్రమే వినియోగదారుకు తెలియజేసే విధంగా అమలు చేయబడుతుందని ఊహించారు, థర్డ్-పార్టీ అప్లికేషన్‌లను ప్రారంభించడానికి మరియు డేటాను బదిలీ చేయడానికి టూల్స్ ఇవ్వకూడదని ప్రయత్నిస్తున్నారు, సాధ్యమయ్యే ప్రతి విధంగా చర్యలను పరిమితం చేస్తారు. ప్రామాణిక నియంత్రణ షెల్స్ ద్వారా. నా "బాధితుడు", అతని వృత్తి కారణంగా, 1C మాత్రమే పొందింది:

1C ఇంటర్‌ఫేస్ చుట్టూ కొంచెం నడిచిన తర్వాత, అక్కడ బాహ్య ప్రాసెసింగ్ మాడ్యూల్స్ ఉన్నాయని నేను కనుగొన్నాను. అవి ఇంటర్‌ఫేస్ నుండి లోడ్ చేయబడతాయి మరియు హక్కులు మరియు సెట్టింగ్‌లను బట్టి అవి క్లయింట్ లేదా సర్వర్‌లో అమలు చేయబడతాయి.

స్ట్రింగ్‌ని అంగీకరించి, దాన్ని అమలు చేసే ప్రాసెసింగ్‌ని సృష్టించమని నేను నా 1C ప్రోగ్రామర్ స్నేహితులను అడిగాను. 1C భాషలో, ప్రక్రియను ప్రారంభించడం ఇలా కనిపిస్తుంది (ఇంటర్నెట్ నుండి తీసుకోబడింది). 1C భాష యొక్క వాక్యనిర్మాణం దాని సహజత్వంతో రష్యన్ మాట్లాడే ప్రజలను ఆశ్చర్యపరుస్తుందని మీరు అంగీకరిస్తారా?

ప్రాసెసింగ్ ఖచ్చితంగా అమలు చేయబడింది; ఇది పెంటెస్టర్లు “షెల్” అని పిలుస్తుంది - ఇంటర్నెట్ ఎక్స్‌ప్లోరర్ దాని ద్వారా ప్రారంభించబడింది.

ఇంతకు ముందు, భూభాగానికి పాస్‌లను ఆర్డర్ చేయడానికి మిమ్మల్ని అనుమతించే సిస్టమ్ చిరునామా మెయిల్‌లో కనుగొనబడింది. నేను WiFi దాడి వెక్టార్‌ని ఉపయోగించాల్సి వస్తే పాస్‌ని ఆర్డర్ చేసాను.

కస్టమర్ కార్యాలయంలో రుచికరమైన ఉచిత క్యాటరింగ్ ఇప్పటికీ ఉందని ఇంటర్నెట్‌లో చర్చ ఉంది, కానీ నేను ఇప్పటికీ రిమోట్‌గా దాడిని అభివృద్ధి చేయడానికి ఇష్టపడతాను, ఇది ప్రశాంతంగా ఉంది.

Citrix నడుస్తున్న అప్లికేషన్ సర్వర్‌లో AppLocker యాక్టివేట్ చేయబడింది, కానీ అది బైపాస్ చేయబడింది. అదే Meterpreter DNS ద్వారా లోడ్ చేయబడింది మరియు ప్రారంభించబడింది, ఎందుకంటే http(లు) వెర్షన్‌లు కనెక్ట్ కావడానికి ఇష్టపడలేదు మరియు ఆ సమయంలో నాకు అంతర్గత ప్రాక్సీ చిరునామా తెలియదు. మార్గం ద్వారా, ఈ క్షణం నుండి, బాహ్య పెంటెస్ట్ తప్పనిసరిగా పూర్తిగా అంతర్గతంగా మారింది.

పార్ట్ 4. వినియోగదారులకు నిర్వాహక హక్కులు చెడ్డవి, సరేనా?

డొమైన్ యూజర్ సెషన్‌పై నియంత్రణ సాధించేటప్పుడు పెంటెస్టర్ చేసే మొదటి పని డొమైన్‌లోని హక్కుల గురించిన మొత్తం సమాచారాన్ని సేకరించడం. డొమైన్ కంట్రోలర్ నుండి LDAP ప్రోటోకాల్ ద్వారా మరియు SMB ద్వారా వినియోగదారులు, కంప్యూటర్‌లు, భద్రతా సమూహాల గురించి సమాచారాన్ని స్వయంచాలకంగా డౌన్‌లోడ్ చేసుకోవడానికి మిమ్మల్ని అనుమతించే BloodHound యుటిలిటీ ఉంది - ఇటీవల ఏ వినియోగదారు ఎక్కడ మరియు స్థానిక నిర్వాహకుడు అనే దాని గురించిన సమాచారం.

డొమైన్ అడ్మినిస్ట్రేటర్ హక్కులను స్వాధీనం చేసుకునే విలక్షణమైన సాంకేతికత మార్పులేని చర్యల చక్రం వలె సరళీకృతంగా కనిపిస్తుంది:

• మేము ఇప్పటికే క్యాప్చర్ చేసిన డొమైన్ ఖాతాల ఆధారంగా స్థానిక అడ్మినిస్ట్రేటర్ హక్కులు ఉన్న డొమైన్ కంప్యూటర్‌లకు వెళ్తాము.
• మేము Mimikatzని ప్రారంభించాము మరియు కాష్ చేసిన పాస్‌వర్డ్‌లు, Kerberos టిక్కెట్‌లు మరియు ఇటీవల ఈ సిస్టమ్‌లోకి లాగిన్ చేసిన డొమైన్ ఖాతాల NTLM హ్యాష్‌లను పొందుతాము. లేదా మేము lsass.exe ప్రాసెస్ యొక్క మెమరీ ఇమేజ్‌ని తీసివేసి, మన వైపు కూడా అదే చేస్తాము. డిఫాల్ట్ సెట్టింగ్‌లతో 2012R2/Windows 8.1 కంటే తక్కువ వయస్సు ఉన్న Windowsతో ఇది బాగా పనిచేస్తుంది.
• రాజీపడిన ఖాతాలకు స్థానిక నిర్వాహక హక్కులు ఎక్కడ ఉన్నాయో మేము నిర్ణయిస్తాము. మేము మొదటి పాయింట్ పునరావృతం చేస్తాము. ఒక దశలో మేము మొత్తం డొమైన్ కోసం నిర్వాహక హక్కులను పొందుతాము.

"చక్రం ముగింపు;", 1C ప్రోగ్రామర్లు ఇక్కడ వ్రాస్తారు.

కాబట్టి, మా వినియోగదారు Windows 7తో కేవలం ఒక హోస్ట్‌లో స్థానిక నిర్వాహకుడిగా మారారు, దాని పేరులో “VDI” లేదా “వర్చువల్ డెస్క్‌టాప్ ఇన్‌ఫ్రాస్ట్రక్చర్”, వ్యక్తిగత వర్చువల్ మెషీన్‌లు ఉన్నాయి. బహుశా, VDI సేవ యొక్క రూపకర్త అర్థం VDI అనేది వినియోగదారు యొక్క వ్యక్తిగత ఆపరేటింగ్ సిస్టమ్ కాబట్టి, వినియోగదారు తనకు నచ్చిన విధంగా సాఫ్ట్‌వేర్ వాతావరణాన్ని మార్చినప్పటికీ, హోస్ట్ ఇప్పటికీ "రీలోడ్" చేయబడవచ్చు. సాధారణంగా ఆలోచన మంచిదని నేను కూడా అనుకున్నాను, నేను ఈ వ్యక్తిగత VDI హోస్ట్‌కి వెళ్లి అక్కడ గూడు కట్టుకున్నాను:

• నేను అక్కడ ఓపెన్‌విపిఎన్ క్లయింట్‌ను ఇన్‌స్టాల్ చేసాను, అది ఇంటర్నెట్ ద్వారా నా సర్వర్‌కు సొరంగం చేసింది. క్లయింట్ డొమైన్ ప్రామాణీకరణతో అదే బ్లూ కోట్ ద్వారా వెళ్ళవలసి వచ్చింది, కానీ ఓపెన్‌విపిఎన్ వారు చెప్పినట్లుగా “బాక్స్ వెలుపల” చేసింది.
• VDIలో OpenSSH ఇన్‌స్టాల్ చేయబడింది. బాగా, నిజంగా, SSH లేకుండా Windows 7 అంటే ఏమిటి?

ఇది ప్రత్యక్షంగా కనిపించింది. ఇవన్నీ Citrix మరియు 1C ద్వారా జరగాలని నేను మీకు గుర్తు చేస్తాను:

పొరుగు కంప్యూటర్‌లకు యాక్సెస్‌ని ప్రోత్సహించడానికి ఒక టెక్నిక్, మ్యాచ్ కోసం స్థానిక అడ్మినిస్ట్రేటర్ పాస్‌వర్డ్‌లను తనిఖీ చేయడం. ఇక్కడ అదృష్టం వెంటనే ఎదురుచూసింది: డిఫాల్ట్ లోకల్ అడ్మినిస్ట్రేటర్ యొక్క NTLM హాష్ (అతను అకస్మాత్తుగా అడ్మినిస్ట్రేటర్ అని పిలువబడ్డాడు) పొరుగున ఉన్న VDI హోస్ట్‌లకు పాస్-ది-హాష్ దాడి ద్వారా సంప్రదించబడింది, అందులో అనేక వందల మంది ఉన్నారు. అయితే, దాడి వెంటనే వారిని తాకింది.

ఇక్కడే VDI నిర్వాహకులు తమను తాము రెండుసార్లు కాల్చుకున్నారు:

• మొదటి సారి VDI మెషీన్‌లను LAPS కిందకు తీసుకురాలేదు, ముఖ్యంగా VDIకి భారీగా అమర్చబడిన ఇమేజ్ నుండి అదే స్థానిక నిర్వాహకుని పాస్‌వర్డ్‌ని ఉంచడం.
• పాస్-ది-హాష్ దాడులకు గురయ్యే ఏకైక స్థానిక ఖాతా డిఫాల్ట్ అడ్మినిస్ట్రేటర్. అదే పాస్‌వర్డ్‌తో కూడా, సంక్లిష్ట యాదృచ్ఛిక పాస్‌వర్డ్‌తో రెండవ స్థానిక నిర్వాహక ఖాతాను సృష్టించడం మరియు డిఫాల్ట్‌ను నిరోధించడం ద్వారా భారీ రాజీని నివారించడం సాధ్యమవుతుంది.

ఆ Windowsలో SSH సేవ ఎందుకు? చాలా సులభం: ఇప్పుడు OpenSSH సర్వర్ వినియోగదారు పనిలో జోక్యం చేసుకోకుండా అనుకూలమైన ఇంటరాక్టివ్ కమాండ్ షెల్‌ను అందించడమే కాకుండా VDIలో సాక్స్5 ప్రాక్సీని కూడా అందించింది. ఈ సాక్స్ ద్వారా, నేను SMB ద్వారా కనెక్ట్ అయ్యాను మరియు ఈ వందల VDI మెషీన్‌ల నుండి కాష్ చేసిన ఖాతాలను సేకరించాను, ఆపై వాటిని BloodHound గ్రాఫ్‌లలో ఉపయోగించి డొమైన్ అడ్మినిస్ట్రేటర్‌కి మార్గం కోసం వెతికాను. వందలాది మంది హోస్ట్‌లు నా వద్ద ఉన్నందున, నేను ఈ మార్గాన్ని చాలా త్వరగా కనుగొన్నాను. డొమైన్ అడ్మినిస్ట్రేటర్ హక్కులు పొందబడ్డాయి.

ఇంటర్నెట్ నుండి ఇదే విధమైన శోధనను చూపుతున్న చిత్రం ఇక్కడ ఉంది. అడ్మినిస్ట్రేటర్ ఎవరు ఎక్కడ ఉన్నారు మరియు ఎవరు ఎక్కడ లాగిన్ అయ్యారో కనెక్షన్లు చూపుతాయి.

మార్గం ద్వారా, ప్రాజెక్ట్ ప్రారంభం నుండి పరిస్థితిని గుర్తుంచుకోండి - "సోషల్ ఇంజనీరింగ్ ఉపయోగించవద్దు." కాబట్టి, సామాన్యమైన ఫిషింగ్‌ను ఉపయోగించడం ఇంకా సాధ్యమైతే, స్పెషల్ ఎఫెక్ట్‌లతో కూడిన ఈ బాలీవుడ్ మొత్తం ఎంతవరకు కత్తిరించబడుతుందో ఆలోచించాలని నేను ప్రతిపాదిస్తున్నాను. కానీ వ్యక్తిగతంగా, ఇవన్నీ చేయడం నాకు చాలా ఆసక్తికరంగా ఉంది. మీరు దీన్ని చదివి ఆనందించారని నేను ఆశిస్తున్నాను. వాస్తవానికి, ప్రతి ప్రాజెక్ట్ చాలా చమత్కారంగా కనిపించదు, కానీ మొత్తంగా పని చాలా సవాలుగా ఉంటుంది మరియు అది స్తబ్దంగా ఉండటానికి అనుమతించదు.

బహుశా ఎవరికైనా ఒక ప్రశ్న ఉంటుంది: మిమ్మల్ని మీరు ఎలా రక్షించుకోవాలి? ఈ వ్యాసం కూడా అనేక పద్ధతులను వివరిస్తుంది, వీటిలో చాలా వరకు Windows నిర్వాహకులకు కూడా తెలియదు. అయినప్పటికీ, నేను వాటిని హాక్నీడ్ సూత్రాలు మరియు సమాచార భద్రతా చర్యల కోణం నుండి చూడాలని ప్రతిపాదిస్తున్నాను:

• కాలం చెల్లిన సాఫ్ట్‌వేర్‌ను ఉపయోగించవద్దు (ప్రారంభంలో Windows 2003 గుర్తుందా?)
• అనవసరమైన సిస్టమ్‌లను ఆన్‌లో ఉంచవద్దు (యూరాలజిస్ట్ వెబ్‌సైట్ ఎందుకు ఉంది?)
• బలం కోసం యూజర్ పాస్‌వర్డ్‌లను మీరే చెక్ చేసుకోండి (లేకపోతే సైనికులు... పెంటెస్టర్లు దీన్ని చేస్తారు)
• వేర్వేరు ఖాతాలకు ఒకే పాస్‌వర్డ్‌లు లేవు (VDI రాజీ)
• మరియు ఇతర

వాస్తవానికి, ఇది అమలు చేయడం చాలా కష్టం, కానీ తదుపరి వ్యాసంలో ఇది చాలా సాధ్యమేనని ఆచరణలో చూపుతాము.

మూలం: www.habr.com