ప్రోహోస్టర్ > బ్లాగ్ > పరిపాలన > ఒకసారి పెంటెస్ట్, లేదా యూరాలజిస్ట్ మరియు రోస్కోమ్నాడ్జోర్ సహాయంతో ప్రతిదీ ఎలా విచ్ఛిన్నం చేయాలి
ఒకసారి పెంటెస్ట్, లేదా యూరాలజిస్ట్ మరియు రోస్కోమ్నాడ్జోర్ సహాయంతో ప్రతిదీ ఎలా విచ్ఛిన్నం చేయాలి
గ్రూప్-IB నిపుణులు కొన్ని సంవత్సరాల క్రితం నిర్వహించిన చాలా విజయవంతమైన పెంటెస్ట్ ఆధారంగా ఈ కథనం వ్రాయబడింది: బాలీవుడ్లో చలనచిత్రం కోసం స్వీకరించదగిన కథ జరిగింది. ఇప్పుడు, బహుశా, పాఠకుల ప్రతిస్పందన ఇలా ఉంటుంది: "ఓహ్, మరొక PR కథనం, మళ్లీ ఇవి చిత్రీకరించబడుతున్నాయి, అవి ఎంత మంచివి, పెంటెస్ట్ కొనడం మర్చిపోవద్దు." బాగా, ఒక వైపు, అది. అయితే, ఈ వ్యాసం కనిపించడానికి అనేక ఇతర కారణాలు ఉన్నాయి. పెంటెస్టర్లు సరిగ్గా ఏమి చేస్తారో, ఈ పని ఎంత ఆసక్తికరంగా మరియు పనికిమాలినదిగా ఉంటుందో, ప్రాజెక్ట్లలో ఎలాంటి ఫన్నీ పరిస్థితులు తలెత్తవచ్చు మరియు ముఖ్యంగా నిజమైన ఉదాహరణలతో ప్రత్యక్ష విషయాలను చూపించాలని నేను కోరుకుంటున్నాను.
ప్రపంచంలో నిరాడంబరత యొక్క సమతుల్యతను పునరుద్ధరించడానికి, కొంతకాలం తర్వాత మేము సరిగ్గా జరగని పెంటెస్ట్ గురించి వ్రాస్తాము. ఈ ప్రక్రియలు ఉనికిలో ఉన్నందున మరియు వాస్తవానికి పని చేస్తున్నందున, కంపెనీలో చక్కగా రూపొందించబడిన ప్రక్రియలు మొత్తం శ్రేణి దాడుల నుండి ఎలా రక్షించబడతాయో, బాగా సిద్ధమైన వాటి నుండి ఎలా రక్షించగలదో మేము చూపుతాము.
ఈ వ్యాసంలోని కస్టమర్ కోసం, ప్రతిదీ కూడా సాధారణంగా అద్భుతమైనది, మా భావాల ప్రకారం, రష్యన్ ఫెడరేషన్లోని మార్కెట్లో కనీసం 95% కంటే మెరుగ్గా ఉంది, అయితే అనేక చిన్న సూక్ష్మ నైపుణ్యాలు ఉన్నాయి, ఇవి సుదీర్ఘ సంఘటనల గొలుసును ఏర్పరుస్తాయి, ఇది మొదటిది పనిపై సుదీర్ఘ నివేదికకు దారితీసింది, ఆపై ఈ కథనానికి.
కాబట్టి, పాప్కార్న్ను నిల్వ చేద్దాం మరియు డిటెక్టివ్ కథనానికి స్వాగతం. పదం - పావెల్ సుప్రన్యుక్, గ్రూప్-IB యొక్క "ఆడిట్ మరియు కన్సల్టింగ్" విభాగం యొక్క సాంకేతిక మేనేజర్.
పార్ట్ 1. పోచ్కిన్ డాక్టర్
2018 ఒక కస్టమర్ ఉంది - ఒక హైటెక్ IT కంపెనీ, ఇది చాలా మంది ఖాతాదారులకు సేవలు అందిస్తుంది. ప్రశ్నకు సమాధానాన్ని పొందాలనుకుంటున్నారు: యాక్టివ్ డైరెక్టరీ డొమైన్ అడ్మినిస్ట్రేటర్ హక్కులను పొందడం ఇంటర్నెట్ ద్వారా పని చేయడం, ఏదైనా ప్రారంభ జ్ఞానం మరియు యాక్సెస్ లేకుండా సాధ్యమేనా? నాకు ఏ సోషల్ ఇంజినీరింగ్ పట్ల ఆసక్తి లేదు (ఓహ్, కానీ ఫలించలేదు), వారు ఉద్దేశపూర్వకంగా పనిలో జోక్యం చేసుకోవాలని అనుకోరు, కానీ వారు అనుకోకుండా - వింతగా పని చేసే సర్వర్ను రీలోడ్ చేయవచ్చు, ఉదాహరణకు. బయటి చుట్టుకొలతకు వ్యతిరేకంగా వీలైనన్ని ఇతర దాడి వెక్టర్లను గుర్తించడం అదనపు లక్ష్యం. కంపెనీ క్రమం తప్పకుండా అలాంటి పరీక్షలను నిర్వహిస్తుంది మరియు ఇప్పుడు కొత్త పరీక్ష కోసం గడువు వచ్చింది. పరిస్థితులు దాదాపు విలక్షణమైనవి, సరిపోతాయి, అర్థమయ్యేవి. ప్రారంభిద్దాం.
కస్టమర్ పేరు ఉంది - అది ప్రధాన వెబ్సైట్తో “కంపెనీ” అని ఉండనివ్వండి www.company.ru. వాస్తవానికి, వినియోగదారుని భిన్నంగా పిలుస్తారు, కానీ ఈ వ్యాసంలో ప్రతిదీ వ్యక్తిగతంగా ఉంటుంది.
నేను నెట్వర్క్ నిఘాను నిర్వహిస్తాను - కస్టమర్తో ఏ చిరునామాలు మరియు డొమైన్లు నమోదు చేయబడిందో తెలుసుకోండి, నెట్వర్క్ రేఖాచిత్రాన్ని గీయండి, ఈ చిరునామాలకు సేవలు ఎలా పంపిణీ చేయబడతాయో తెలుసుకోండి. నేను ఫలితాన్ని పొందాను: 4000 కంటే ఎక్కువ ప్రత్యక్ష IP చిరునామాలు. నేను ఈ నెట్వర్క్లలోని డొమైన్లను చూస్తున్నాను: అదృష్టవశాత్తూ, అత్యధిక భాగం కస్టమర్ క్లయింట్ల కోసం ఉద్దేశించిన నెట్వర్క్లు మరియు మేము వాటిపై అధికారికంగా ఆసక్తి చూపడం లేదు. కస్టమర్ కూడా అలాగే ఆలోచిస్తాడు.
256 చిరునామాలతో ఒక నెట్వర్క్ మిగిలి ఉంది, దీని కోసం ఈ క్షణంలో IP చిరునామాల ద్వారా డొమైన్లు మరియు సబ్డొమైన్ల పంపిణీపై ఇప్పటికే అవగాహన ఉంది, స్కాన్ చేసిన పోర్ట్ల గురించి సమాచారం ఉంది, అంటే మీరు ఆసక్తికరమైన వాటి కోసం సేవలను చూడవచ్చు. సమాంతరంగా, అన్ని రకాల స్కానర్లు అందుబాటులో ఉన్న IP చిరునామాలలో మరియు వెబ్సైట్లలో విడివిడిగా ప్రారంభించబడతాయి.
చాలా సేవలు ఉన్నాయి. సాధారణంగా ఇది పెంటెస్టర్కు ఆనందం మరియు శీఘ్ర విజయం కోసం ఎదురుచూస్తుంది, ఎందుకంటే ఎక్కువ సేవలు ఉంటే, దాడికి పెద్ద ఫీల్డ్ మరియు కళాకృతిని కనుగొనడం సులభం. వెబ్సైట్లను శీఘ్రంగా పరిశీలిస్తే, వాటిలో ఎక్కువ భాగం పెద్ద గ్లోబల్ కంపెనీల యొక్క ప్రసిద్ధ ఉత్పత్తుల యొక్క వెబ్ ఇంటర్ఫేస్లు అని తేలింది, అన్ని ప్రదర్శనల ద్వారా అవి స్వాగతించబడవని మీకు తెలియజేస్తాయి. వారు వినియోగదారు పేరు మరియు పాస్వర్డ్ను అడుగుతారు, రెండవ కారకాన్ని నమోదు చేయడానికి ఫీల్డ్ను షేక్ చేస్తారు, TLS క్లయింట్ సర్టిఫికేట్ కోసం అడుగుతారు లేదా Microsoft ADFSకి పంపుతారు. కొన్ని ఇంటర్నెట్ నుండి కేవలం యాక్సెస్ చేయలేవు. కొంతమందికి, మీరు మూడు జీతాల కోసం ప్రత్యేకంగా చెల్లించిన క్లయింట్ని కలిగి ఉండాలి లేదా నమోదు చేయడానికి ఖచ్చితమైన URLని తెలుసుకోవాలి. తెలిసిన దుర్బలత్వాల కోసం సాఫ్ట్వేర్ వెర్షన్లను "ఛేదించే" ప్రక్రియలో మరో వారం క్రమంగా నిరుత్సాహాన్ని దాటవేద్దాం, వెబ్ పాత్లలో దాచిన కంటెంట్ మరియు లింక్డ్ఇన్ వంటి థర్డ్-పార్టీ సర్వీస్ల నుండి లీక్ అయిన ఖాతాల కోసం శోధించడం, వాటిని ఉపయోగించి పాస్వర్డ్లను అంచనా వేయడానికి ప్రయత్నించడం. స్వీయ-వ్రాతపూర్వక వెబ్సైట్లలో దుర్బలత్వాలను త్రవ్వడం ద్వారా - గణాంకాల ప్రకారం, ఈ రోజు బాహ్య దాడికి ఇది అత్యంత ఆశాజనకమైన వెక్టర్. తదనంతరం కాల్పులు జరిపిన సినిమా తుపాకీని నేను వెంటనే గమనిస్తాను.
కాబట్టి, మేము వందలకొద్దీ సేవలకు భిన్నంగా రెండు సైట్లను కనుగొన్నాము. ఈ సైట్లకు ఉమ్మడిగా ఒక విషయం ఉంది: మీరు డొమైన్ ద్వారా ఖచ్చితమైన నెట్వర్క్ నిఘాలో పాల్గొనకుండా, ఓపెన్ పోర్ట్ల కోసం తలదాచుకుంటే లేదా తెలిసిన IP పరిధిని ఉపయోగించి దుర్బలత్వ స్కానర్ను లక్ష్యంగా చేసుకుంటే, ఈ సైట్లు స్కానింగ్ను తప్పించుకుంటాయి మరియు కేవలం అలా ఉండవు. DNS పేరు తెలియకుండా కనిపిస్తుంది. బహుశా అవి ముందుగా తప్పిపోయి ఉండవచ్చు, మరియు మా ఆటోమేటిక్ సాధనాలు వాటితో ఎటువంటి సమస్యలను కనుగొనలేదు, అవి నేరుగా వనరుకు పంపబడినప్పటికీ.
మార్గం ద్వారా, గతంలో ప్రారంభించిన స్కానర్లు సాధారణంగా కనుగొన్న వాటి గురించి. నేను మీకు గుర్తు చేస్తాను: కొంతమందికి, "పెంటెస్ట్" అనేది "ఆటోమేటెడ్ స్కాన్"కి సమానం. కానీ ఈ ప్రాజెక్ట్లోని స్కానర్లు ఏమీ చెప్పలేదు. సరే, గరిష్టంగా మీడియం దుర్బలత్వం (తీవ్రత పరంగా 3లో 5) ద్వారా చూపబడింది: కొన్ని సేవలో చెడ్డ TLS సర్టిఫికేట్ లేదా గడువు ముగిసిన ఎన్క్రిప్షన్ అల్గారిథమ్లు మరియు చాలా సైట్లలో క్లిక్జాకింగ్. కానీ ఇది మీ లక్ష్యాన్ని చేరుకోదు. బహుశా స్కానర్లు ఇక్కడ మరింత ఉపయోగకరంగా ఉండవచ్చు, కానీ నేను మీకు గుర్తు చేస్తాను: కస్టమర్ స్వయంగా అలాంటి ప్రోగ్రామ్లను కొనుగోలు చేయగలడు మరియు వాటితో తనను తాను పరీక్షించుకోగలడు మరియు దుర్భరమైన ఫలితాల ద్వారా నిర్ణయించడం ద్వారా అతను ఇప్పటికే తనిఖీ చేసాడు.
"క్రమరహిత" సైట్లకు తిరిగి వెళ్దాం. మొదటిది ప్రామాణికం కాని చిరునామాలో స్థానిక వికీ లాంటిది, కానీ ఈ కథనంలో దీన్ని wiki.company[.]ru అని చెప్పండి. ఆమె వెంటనే లాగిన్ మరియు పాస్వర్డ్ను కోరింది, కానీ బ్రౌజర్లోని NTLM ద్వారా. వినియోగదారు కోసం, ఇది వినియోగదారు పేరు మరియు పాస్వర్డ్ను నమోదు చేయమని అడుగుతున్న సన్యాసి విండో వలె కనిపిస్తుంది. మరియు ఇది చెడ్డ అభ్యాసం.
ఒక చిన్న గమనిక. చుట్టుకొలత వెబ్సైట్లలోని NTLM అనేక కారణాల వల్ల చెడ్డది. యాక్టివ్ డైరెక్టరీ డొమైన్ పేరు బహిర్గతం కావడం మొదటి కారణం. మా ఉదాహరణలో, ఇది "బాహ్య" DNS పేరు వలె కంపెనీ.ru గా కూడా మారింది. ఇది తెలుసుకోవడం, మీరు ఏదైనా హానికరమైనదాన్ని జాగ్రత్తగా సిద్ధం చేయవచ్చు, తద్వారా ఇది సంస్థ యొక్క డొమైన్ మెషీన్లో మాత్రమే అమలు చేయబడుతుంది మరియు కొన్ని శాండ్బాక్స్లో కాదు. రెండవది, పాస్వర్డ్ నమోదు ప్రయత్నాల సంఖ్యను మించకుండా ఖాతాలను బ్లాక్ చేయడంతో సహా "అంతర్గత" నెట్వర్క్ విధానాల యొక్క అన్ని లక్షణాలతో NTLM (ఆశ్చర్యం, సరియైనదా?) ద్వారా ధృవీకరణ నేరుగా డొమైన్ కంట్రోలర్ ద్వారా వెళుతుంది. దాడి చేసే వ్యక్తి లాగిన్లను కనుగొంటే, అతను వాటి కోసం పాస్వర్డ్లను ప్రయత్నిస్తాడు. మీరు తప్పు పాస్వర్డ్లను నమోదు చేయకుండా ఖాతాలను బ్లాక్ చేయడానికి కాన్ఫిగర్ చేయబడితే, అది పని చేస్తుంది మరియు ఖాతా బ్లాక్ చేయబడుతుంది. మూడవది, అటువంటి ప్రమాణీకరణకు రెండవ కారకాన్ని జోడించడం అసాధ్యం. పాఠకులలో ఎవరికైనా ఇప్పటికీ ఎలా తెలిస్తే, దయచేసి నాకు తెలియజేయండి, ఇది నిజంగా ఆసక్తికరమైనది. నాల్గవది, పాస్-ది-హాష్ దాడులకు హాని. వీటన్నింటి నుండి రక్షించడానికి ADFS ఇతర విషయాలతోపాటు కనుగొనబడింది.
మైక్రోసాఫ్ట్ ఉత్పత్తుల యొక్క ఒక చెడ్డ లక్షణం ఉంది: మీరు అటువంటి NTLMని ప్రత్యేకంగా ప్రచురించనప్పటికీ, అది కనీసం OWA మరియు Lyncలో డిఫాల్ట్గా ఇన్స్టాల్ చేయబడుతుంది.
మార్గం ద్వారా, ఈ కథనం యొక్క రచయిత ఒకసారి అనుకోకుండా అదే పద్ధతిని ఉపయోగించి కేవలం ఒక గంటలో ఒక పెద్ద బ్యాంకు ఉద్యోగుల యొక్క సుమారు 1000 ఖాతాలను బ్లాక్ చేసారు మరియు కొంతవరకు లేతగా కనిపించారు. బ్యాంక్ యొక్క IT సేవలు కూడా లేతగా ఉన్నాయి, కానీ ప్రతిదీ సరిగ్గా మరియు తగినంతగా ముగిసింది, ఈ సమస్యను కనుగొన్న మొదటి వ్యక్తిగా మరియు త్వరిత మరియు నిర్ణయాత్మక పరిష్కారాన్ని ప్రేరేపించినందుకు మేము ప్రశంసించబడ్డాము.
రెండవ సైట్లో "స్పష్టంగా ఒక రకమైన చివరి పేరు.company.ru" అనే చిరునామా ఉంది. ఇది Google ద్వారా కనుగొనబడింది, 10వ పేజీలో ఇలా ఉంది. డిజైన్ XNUMXల మధ్యకాలం నుండి రూపొందించబడింది మరియు ఒక గౌరవప్రదమైన వ్యక్తి ప్రధాన పేజీ నుండి దీనిని చూస్తున్నారు, ఇలాంటిది:
ఇక్కడ నేను "హార్ట్ ఆఫ్ ఎ డాగ్" నుండి ఒక స్టిల్ తీసుకున్నాను, కానీ నన్ను నమ్మండి, ఇది అస్పష్టంగా సారూప్యంగా ఉంది, రంగు రూపకల్పన కూడా సారూప్య టోన్లలో ఉంది. సైట్ని పిలవనివ్వండి preobrazhensky.company.ru.
ఇది యూరాలజిస్ట్ కోసం వ్యక్తిగత వెబ్సైట్. హైటెక్ కంపెనీ సబ్డొమైన్లో యూరాలజిస్ట్ వెబ్సైట్ ఏమి చేస్తుందో నేను ఆశ్చర్యపోయాను. Googleని త్వరితగతిన పరిశీలించినప్పుడు, ఈ వైద్యుడు మా కస్టమర్ యొక్క చట్టపరమైన సంస్థలలో ఒకదానికి సహ వ్యవస్థాపకుడు అని మరియు అధీకృత మూలధనంలో సుమారు 1000 రూబిళ్లు కూడా అందించారని తేలింది. సైట్ బహుశా చాలా సంవత్సరాల క్రితం సృష్టించబడింది మరియు కస్టమర్ యొక్క సర్వర్ వనరులు హోస్టింగ్గా ఉపయోగించబడ్డాయి. సైట్ చాలా కాలంగా దాని ఔచిత్యాన్ని కోల్పోయింది, కానీ కొన్ని కారణాల వల్ల ఇది చాలా కాలం పాటు పనిచేయకుండా పోయింది.
దుర్బలత్వాల పరంగా, వెబ్సైట్ సురక్షితంగా ఉంది. ముందుకు చూస్తే, ఇది స్టాటిక్ సమాచారం యొక్క సమితి అని నేను చెబుతాను - మూత్రపిండాలు మరియు మూత్రాశయాల రూపంలో చొప్పించిన దృష్టాంతాలతో కూడిన సాధారణ html పేజీలు. అటువంటి సైట్ను "విచ్ఛిన్నం" చేయడం నిరుపయోగం.
కానీ కింద ఉన్న వెబ్ సర్వర్ మరింత ఆసక్తికరంగా ఉంది. HTTP సర్వర్ హెడర్ని బట్టి చూస్తే, ఇది IIS 6.0ని కలిగి ఉంది, అంటే ఇది Windows 2003ని ఆపరేటింగ్ సిస్టమ్గా ఉపయోగించింది. ఈ నిర్దిష్ట యూరాలజిస్ట్ వెబ్సైట్, అదే వెబ్ సర్వర్లోని ఇతర వర్చువల్ హోస్ట్ల వలె కాకుండా, PROPFIND కమాండ్కు ప్రతిస్పందించిందని స్కానర్ గతంలో గుర్తించింది, అంటే ఇది WebDAVని నడుపుతోంది. మార్గం ద్వారా, స్కానర్ ఈ సమాచారాన్ని గుర్తు సమాచారంతో అందించింది (స్కానర్ నివేదికల భాషలో, ఇది అతి తక్కువ ప్రమాదం) - ఇటువంటి విషయాలు సాధారణంగా దాటవేయబడతాయి. కలయికలో, ఇది ఆసక్తికరమైన ప్రభావాన్ని ఇచ్చింది, ఇది Googleలో మరొక త్రవ్వకం తర్వాత మాత్రమే వెల్లడైంది: షాడో బ్రోకర్ల సెట్తో అనుబంధించబడిన అరుదైన బఫర్ ఓవర్ఫ్లో దుర్బలత్వం, అంటే CVE-2017-7269, ఇది ఇప్పటికే సిద్ధంగా ఉన్న దోపిడీని కలిగి ఉంది. మరో మాటలో చెప్పాలంటే, మీకు Windows 2003 ఉంటే మరియు WebDAV IISలో రన్ అవుతున్నట్లయితే ఇబ్బంది ఉంటుంది. 2003లో ఉత్పత్తిలో Windows 2018ని అమలు చేయడం ఒక సమస్య అయినప్పటికీ.
దోపిడీ Metasploitలో ముగిసింది మరియు నియంత్రిత సేవకు DNS అభ్యర్థనను పంపిన లోడ్తో వెంటనే పరీక్షించబడింది - Burp Collaborator సాంప్రదాయకంగా DNS అభ్యర్థనలను క్యాచ్ చేయడానికి ఉపయోగించబడుతుంది. నా ఆశ్చర్యానికి, ఇది మొదటిసారి పని చేసింది: DNS నాకౌట్ అందుకుంది. తర్వాత, పోర్ట్ 80 ద్వారా బ్యాక్కనెక్ట్ను సృష్టించే ప్రయత్నం జరిగింది (అంటే, బాధితుడు హోస్ట్లో cmd.exeకి యాక్సెస్తో సర్వర్ నుండి దాడి చేసే వ్యక్తికి నెట్వర్క్ కనెక్షన్), కానీ అప్పుడు ఒక అపజయం జరిగింది. కనెక్షన్ రాలేదు, మరియు సైట్ను ఉపయోగించడానికి మూడవ ప్రయత్నం తర్వాత, అన్ని ఆసక్తికరమైన చిత్రాలతో పాటు, ఎప్పటికీ అదృశ్యమైంది.
సాధారణంగా దీని తర్వాత "కస్టమర్, మేల్కొలపండి, మేము ప్రతిదీ వదిలివేసాము" అనే శైలిలో ఒక లేఖ వస్తుంది. కానీ సైట్కు వ్యాపార ప్రక్రియలతో ఎటువంటి సంబంధం లేదని మరియు మొత్తం సర్వర్లాగా ఎటువంటి కారణం లేకుండానే పని చేస్తుందని మరియు ఈ వనరును మనకు నచ్చిన విధంగా ఉపయోగించుకోవచ్చని మాకు చెప్పబడింది.
దాదాపు ఒక రోజు తర్వాత సైట్ అకస్మాత్తుగా దాని స్వంత పని చేయడం ప్రారంభించింది. IIS 6.0లో WebDAV నుండి బెంచ్ను రూపొందించినందున, ప్రతి 30 గంటలకు IIS వర్కర్ ప్రాసెస్లను పునఃప్రారంభించడమే డిఫాల్ట్ సెట్టింగ్ అని నేను కనుగొన్నాను. అంటే, నియంత్రణ షెల్కోడ్ నుండి నిష్క్రమించినప్పుడు, IIS వర్కర్ ప్రక్రియ ముగిసింది, తర్వాత అది రెండుసార్లు పునఃప్రారంభించబడింది మరియు తర్వాత 30 గంటల పాటు విశ్రాంతి తీసుకోబడింది.
tcpకి బ్యాక్కనెక్ట్ మొదటిసారి విఫలమైనందున, నేను ఈ సమస్యను క్లోజ్డ్ పోర్ట్కి ఆపాదించాను. అంటే, అవుట్గోయింగ్ కనెక్షన్లు బయటికి వెళ్లడానికి అనుమతించని ఒక రకమైన ఫైర్వాల్ ఉనికిని అతను ఊహించాడు. నేను అనేక tcp మరియు udp పోర్ట్ల ద్వారా శోధించిన షెల్కోడ్లను అమలు చేయడం ప్రారంభించాను, ఎటువంటి ప్రభావం లేదు. Metasploit నుండి http(s) ద్వారా రివర్స్ కనెక్షన్ లోడ్లు పని చేయలేదు - meterpreter/reverse_http(s). అకస్మాత్తుగా, అదే పోర్ట్ 80కి కనెక్షన్ ఏర్పాటు చేయబడింది, కానీ వెంటనే పడిపోయింది. మీటర్ప్రెటర్ ట్రాఫిక్ని ఇష్టపడని ఇప్పటికీ ఊహాత్మక IPS చర్యకు నేను దీనిని ఆపాదించాను. పోర్ట్ 80కి స్వచ్ఛమైన tcp కనెక్షన్ జరగలేదు, కానీ http కనెక్షన్ జరిగింది, సిస్టమ్లో http ప్రాక్సీ ఏదో విధంగా కాన్ఫిగర్ చేయబడిందని నేను నిర్ధారించాను.
నేను DNS ద్వారా మీటర్ప్రెటర్ని కూడా ప్రయత్నించాను (ధన్యవాదాలు d00kie మీ ప్రయత్నాల కోసం, చాలా ప్రాజెక్ట్లను సేవ్ చేసారు), మొదటి విజయాన్ని గుర్తుచేసుకున్నారు, కానీ ఇది స్టాండ్లో కూడా పని చేయలేదు - షెల్కోడ్ ఈ దుర్బలత్వానికి చాలా పెద్దది.
వాస్తవానికి, ఇది ఇలా ఉంది: 3 నిమిషాల్లో 4-5 దాడులకు ప్రయత్నాలు, ఆపై 30 గంటలు వేచి ఉన్నాయి. ఇలా వరుసగా మూడు వారాలు. సమయం వృధా చేసుకోకుండా రిమైండర్ కూడా పెట్టాను. అదనంగా, పరీక్ష మరియు ఉత్పత్తి పరిసరాల ప్రవర్తనలో తేడా ఉంది: ఈ దుర్బలత్వం కోసం రెండు సారూప్య దోపిడీలు ఉన్నాయి, ఒకటి Metasploit నుండి, రెండవది ఇంటర్నెట్ నుండి, షాడో బ్రోకర్స్ వెర్షన్ నుండి మార్చబడింది. కాబట్టి, పోరాటంలో మెటాస్ప్లోయిట్ మాత్రమే పరీక్షించబడింది మరియు రెండవది మాత్రమే బెంచ్పై పరీక్షించబడింది, ఇది డీబగ్గింగ్ను మరింత కష్టతరం చేసింది మరియు మెదడును దెబ్బతీసింది.
చివరికి, http ద్వారా ఇచ్చిన సర్వర్ నుండి exe ఫైల్ను డౌన్లోడ్ చేసి, లక్ష్య సిస్టమ్లో ప్రారంభించిన షెల్కోడ్ ప్రభావవంతంగా నిరూపించబడింది. షెల్కోడ్ సరిపోయేంత చిన్నది, కానీ కనీసం అది పని చేసింది. సర్వర్ TCP ట్రాఫిక్ని అస్సలు ఇష్టపడనందున మరియు మీటర్ప్రెటర్ ఉనికి కోసం http(లు) తనిఖీ చేయబడినందున, ఈ షెల్కోడ్ ద్వారా DNS-meterpreterని కలిగి ఉన్న exe ఫైల్ను డౌన్లోడ్ చేయడం వేగవంతమైన మార్గం అని నేను నిర్ణయించుకున్నాను.
ఇక్కడ మళ్ళీ ఒక సమస్య తలెత్తింది: exe ఫైల్ను డౌన్లోడ్ చేస్తున్నప్పుడు మరియు ప్రయత్నాలు చూపినట్లుగా, ఏది ఉన్నా, డౌన్లోడ్ అంతరాయం కలిగింది. మళ్ళీ, నా సర్వర్ మరియు యూరాలజిస్ట్ మధ్య కొన్ని భద్రతా పరికరం లోపల exe ఉన్న http ట్రాఫిక్ని ఇష్టపడలేదు. "శీఘ్ర" పరిష్కారం షెల్కోడ్ను మార్చడం అని అనిపించింది, తద్వారా ఇది ఫ్లైలో http ట్రాఫిక్ను అస్పష్టం చేస్తుంది, తద్వారా exeకి బదులుగా వియుక్త బైనరీ డేటా బదిలీ చేయబడుతుంది. చివరగా, దాడి విజయవంతమైంది, సన్నని DNS ఛానెల్ ద్వారా నియంత్రణ పొందబడింది:
నాకు చాలా ప్రాథమిక IIS వర్క్ఫ్లో హక్కులు ఉన్నాయని వెంటనే స్పష్టమైంది, ఇది నన్ను ఏమీ చేయనివ్వదు. Metasploit కన్సోల్లో ఇది ఇలా ఉంది:
అన్ని పెంటెస్ట్ మెథడాలజీలు యాక్సెస్ పొందేటప్పుడు మీరు హక్కులను పెంచుకోవాలని గట్టిగా సూచిస్తున్నాయి. నేను సాధారణంగా దీన్ని స్థానికంగా చేయను, ఎందుకంటే మొట్టమొదటి యాక్సెస్ కేవలం నెట్వర్క్ ఎంట్రీ పాయింట్గా కనిపిస్తుంది మరియు అదే నెట్వర్క్లో మరొక మెషీన్ను రాజీ చేయడం సాధారణంగా ఇప్పటికే ఉన్న హోస్ట్పై అధికారాలను పెంచడం కంటే సులభం మరియు వేగంగా ఉంటుంది. కానీ ఇక్కడ అలా కాదు, ఎందుకంటే DNS ఛానెల్ చాలా ఇరుకైనది మరియు ఇది ట్రాఫిక్ను క్లియర్ చేయడానికి అనుమతించదు.
ప్రసిద్ధ MS2003-17 దుర్బలత్వం కోసం ఈ Windows 010 సర్వర్ రిపేర్ చేయబడలేదని భావించి, నేను లోకల్ హోస్ట్లోని మీటర్ప్రెటర్ DNS టన్నెల్ ద్వారా పోర్ట్ 445/TCPకి టన్నెల్ ట్రాఫిక్ను చేస్తాను (అవును, ఇది కూడా సాధ్యమే) మరియు మునుపు డౌన్లోడ్ చేసిన exeని అమలు చేయడానికి ప్రయత్నిస్తాను దుర్బలత్వం. దాడి పని చేస్తుంది, నేను రెండవ కనెక్షన్ని అందుకుంటాను, కానీ SYSTEM హక్కులతో.
వారు ఇప్పటికీ MS17-010 నుండి సర్వర్ను రక్షించడానికి ప్రయత్నించడం ఆసక్తికరంగా ఉంది - ఇది బాహ్య ఇంటర్ఫేస్లో హాని కలిగించే నెట్వర్క్ సేవలు నిలిపివేయబడ్డాయి. ఇది నెట్వర్క్లోని దాడుల నుండి రక్షణ కల్పిస్తుంది, కానీ మీరు లోకల్ హోస్ట్లో SMBని త్వరగా ఆఫ్ చేయలేరు కాబట్టి, లోకల్ హోస్ట్లో నుండి దాడి పని చేస్తుంది.
తరువాత, కొత్త ఆసక్తికరమైన వివరాలు వెల్లడి చేయబడ్డాయి:
సిస్టమ్ హక్కులను కలిగి ఉన్నందున, మీరు TCP ద్వారా సులభంగా బ్యాక్కనెక్షన్ని ఏర్పాటు చేసుకోవచ్చు. సహజంగానే, ప్రత్యక్ష TCPని నిలిపివేయడం అనేది పరిమిత IIS వినియోగదారుకు ఖచ్చితంగా సమస్య. స్పాయిలర్: IIS వినియోగదారు ట్రాఫిక్ రెండు దిశలలో స్థానిక ISA ప్రాక్సీలో ఏదో విధంగా చుట్టబడింది. ఇది ఎలా సరిగ్గా పని చేస్తుంది, నేను పునరుత్పత్తి చేయలేదు.
నేను నిర్దిష్ట “DMZ”లో ఉన్నాను (మరియు ఇది యాక్టివ్ డైరెక్టరీ డొమైన్ కాదు, వర్క్గ్రూప్) - ఇది లాజికల్గా అనిపిస్తుంది. కానీ ఊహించిన ప్రైవేట్ ("బూడిద") IP చిరునామాకు బదులుగా, నేను పూర్తిగా "తెలుపు" IP చిరునామాను కలిగి ఉన్నాను, నేను ఇంతకు ముందు దాడి చేసిన దాని వలెనే ఉంది. అంటే 4 నుండి సిస్కో మాన్యువల్స్లో చిత్రీకరించబడినట్లుగా, స్కీమ్ ప్రకారం NAT లేకుండా 128 "తెలుపు" చిరునామాల కోసం DMZ జోన్ను నిర్వహించగలిగేంత స్థోమత IPv2005 ప్రపంచంలో కంపెనీ చాలా పాతది.
సర్వర్ పాతది కాబట్టి, Mimikatz మెమరీ నుండి నేరుగా పని చేయడానికి హామీ ఇవ్వబడింది:
నేను లోకల్ అడ్మినిస్ట్రేటర్ పాస్వర్డ్ను పొందాను, TCP ద్వారా టన్నెల్ RDP ట్రాఫిక్ని పొందాను మరియు హాయిగా ఉండే డెస్క్టాప్లోకి లాగిన్ అవుతాను. నేను సర్వర్తో నాకు కావలసినది చేయగలను కాబట్టి, నేను యాంటీవైరస్ని తీసివేసాను మరియు TCP పోర్ట్లు 80 మరియు 443 ద్వారా మాత్రమే సర్వర్ ఇంటర్నెట్ నుండి యాక్సెస్ చేయగలదని మరియు 443 బిజీగా లేదని కనుగొన్నాను. నేను 443లో OpenVPN సర్వర్ని సెటప్ చేసాను, నా VPN ట్రాఫిక్ కోసం NAT ఫంక్షన్లను జోడించాను మరియు నా OpenVPN ద్వారా అపరిమిత రూపంలో DMZ నెట్వర్క్కి ప్రత్యక్ష ప్రాప్యతను పొందుతాను. ISA, కొన్ని నాన్-డిసేబుల్ IPS ఫంక్షన్లను కలిగి ఉండటం గమనార్హం, పోర్ట్ స్కానింగ్తో నా ట్రాఫిక్ను బ్లాక్ చేసింది, దీని కోసం దీనిని సరళమైన మరియు మరింత కంప్లైంట్ RRASతో భర్తీ చేయాల్సి వచ్చింది. కాబట్టి పెంటెస్టర్లు కొన్నిసార్లు అన్ని రకాల విషయాలను నిర్వహించవలసి ఉంటుంది.
శ్రద్ధగల పాఠకుడు ఇలా అడుగుతాడు: "రెండవ సైట్ గురించి ఏమిటి - NTLM ప్రమాణీకరణతో కూడిన వికీ, దాని గురించి చాలా వ్రాయబడింది?" దీని గురించి మరింత తరువాత.
పార్ట్ 2. ఇంకా గుప్తీకరించడం లేదా? అప్పుడు మేము ఇప్పటికే ఇక్కడకు వస్తున్నాము
కాబట్టి, DMZ నెట్వర్క్ విభాగానికి యాక్సెస్ ఉంది. మీరు డొమైన్ అడ్మినిస్ట్రేటర్ వద్దకు వెళ్లాలి. DMZ సెగ్మెంట్లోని సేవల భద్రతను స్వయంచాలకంగా తనిఖీ చేయడం గుర్తుంచుకోవలసిన మొదటి విషయం, ప్రత్యేకించి వాటిలో అనేకం ఇప్పుడు పరిశోధన కోసం తెరిచి ఉన్నాయి. చొచ్చుకుపోయే పరీక్ష సమయంలో ఒక సాధారణ చిత్రం: అంతర్గత సేవల కంటే బాహ్య చుట్టుకొలత మెరుగ్గా రక్షించబడుతుంది మరియు పెద్ద మౌలిక సదుపాయాలలో ఏదైనా ప్రాప్యతను పొందినప్పుడు, ఈ డొమైన్ ప్రారంభం కావడం వల్ల మాత్రమే డొమైన్లో పొడిగించిన హక్కులను పొందడం చాలా సులభం. సాధనాలకు అందుబాటులో ఉంటుంది మరియు రెండవది, అనేక వేల హోస్ట్లతో కూడిన మౌలిక సదుపాయాలలో, ఎల్లప్పుడూ కొన్ని క్లిష్టమైన సమస్యలు ఉంటాయి.
నేను OpenVPN టన్నెల్ ద్వారా DMZ ద్వారా స్కానర్లను ఛార్జ్ చేస్తాను మరియు వేచి ఉండండి. నేను నివేదికను తెరుస్తాను - మళ్ళీ ఏమీ తీవ్రమైనది కాదు, స్పష్టంగా ఎవరైనా నా ముందు అదే పద్ధతి ద్వారా వెళ్ళారు. DMZ నెట్వర్క్లోని హోస్ట్లు ఎలా కమ్యూనికేట్ చేస్తారో పరిశీలించడం తదుపరి దశ. దీన్ని చేయడానికి, ముందుగా సాధారణ వైర్షార్క్ను ప్రారంభించండి మరియు ప్రసార అభ్యర్థనలను వినండి, ప్రధానంగా ARP. రోజంతా ARP ప్యాకెట్లు సేకరించబడ్డాయి. ఈ విభాగంలో అనేక గేట్వేలు ఉపయోగించబడుతున్నాయని తేలింది. ఇది తరువాత ఉపయోగపడుతుంది. ARP అభ్యర్థనలు మరియు ప్రతిస్పందనలు మరియు పోర్ట్ స్కానింగ్ డేటాపై డేటాను కలపడం ద్వారా, వెబ్ మరియు మెయిల్ వంటి గతంలో తెలిసిన సేవలతో పాటు స్థానిక నెట్వర్క్ లోపల నుండి వినియోగదారు ట్రాఫిక్ యొక్క నిష్క్రమణ పాయింట్లను నేను కనుగొన్నాను.
ప్రస్తుతానికి నాకు ఇతర సిస్టమ్లకు ఎలాంటి యాక్సెస్ లేదు మరియు కార్పొరేట్ సేవల కోసం ఒక్క ఖాతా కూడా లేదు కాబట్టి, ARP స్పూఫింగ్ని ఉపయోగించి ట్రాఫిక్ నుండి కనీసం కొంత ఖాతాను అయినా తొలగించాలని నిర్ణయించుకున్నాను.
కెయిన్&అబెల్ యూరాలజిస్ట్ సర్వర్లో ప్రారంభించబడింది. గుర్తించబడిన ట్రాఫిక్ ప్రవాహాలను పరిగణనలోకి తీసుకుని, మనిషి-ఇన్-ది-మిడిల్ దాడికి అత్యంత ఆశాజనకమైన జంటలు ఎంపిక చేయబడ్డాయి, ఆపై సర్వర్ను రీబూట్ చేయడానికి టైమర్తో 5-10 నిమిషాల పాటు స్వల్పకాలిక ప్రయోగం ద్వారా కొంత నెట్వర్క్ ట్రాఫిక్ స్వీకరించబడింది. గడ్డకట్టే సందర్భంలో. జోక్లో వలె, రెండు వార్తలు ఉన్నాయి:
బాగుంది: చాలా ఆధారాలు పట్టుబడ్డాయి మరియు మొత్తం దాడి పనిచేసింది.
చెడు: అన్ని ఆధారాలు కస్టమర్ యొక్క సొంత క్లయింట్ల నుండి వచ్చినవి. మద్దతు సేవలను అందిస్తున్నప్పుడు, ఎల్లప్పుడూ ట్రాఫిక్ ఎన్క్రిప్షన్ కాన్ఫిగర్ చేయని క్లయింట్ల సేవలకు కస్టమర్ నిపుణులు కనెక్ట్ అయ్యారు.
తత్ఫలితంగా, నేను ప్రాజెక్ట్ సందర్భంలో పనికిరాని చాలా ఆధారాలను పొందాను, కానీ దాడి ప్రమాదం యొక్క ప్రదర్శనగా ఖచ్చితంగా ఆసక్తికరంగా ఉంది. టెల్నెట్తో ఉన్న పెద్ద కంపెనీల సరిహద్దు రౌటర్లు, డీబగ్ http పోర్ట్లు మొత్తం డేటాతో అంతర్గత CRMకి ఫార్వార్డ్ చేయబడ్డాయి, స్థానిక నెట్వర్క్లో Windows XP నుండి RDPకి నేరుగా యాక్సెస్ మరియు ఇతర అస్పష్టత. ఇది ఇలా మారింది MITER మ్యాట్రిక్స్ ప్రకారం సరఫరా గొలుసు రాజీ.
నేను ట్రాఫిక్ నుండి లేఖలను సేకరించడానికి ఒక తమాషా అవకాశాన్ని కూడా కనుగొన్నాను, ఇలాంటిదే. ఇది మా కస్టమర్ నుండి అతని క్లయింట్ యొక్క SMTP పోర్ట్కు మళ్లీ ఎన్క్రిప్షన్ లేకుండా వెళ్లిన రెడీమేడ్ లేఖకు ఉదాహరణ. ఒక నిర్దిష్ట ఆండ్రీ తన నేమ్సేక్ని డాక్యుమెంటేషన్ను మళ్లీ పంపమని అడుగుతాడు మరియు అది ఒక ప్రతిస్పందన లేఖలో లాగిన్, పాస్వర్డ్ మరియు లింక్తో క్లౌడ్ డిస్క్కి అప్లోడ్ చేయబడుతుంది:
అన్ని సేవలను గుప్తీకరించడానికి ఇది మరొక రిమైండర్. మీ డేటాను ప్రత్యేకంగా ఎవరు మరియు ఎప్పుడు చదివి, ఉపయోగిస్తారో తెలియదు - ప్రొవైడర్, మరొక కంపెనీ సిస్టమ్ అడ్మినిస్ట్రేటర్ లేదా అలాంటి పెంటెస్టర్. చాలా మంది వ్యక్తులు ఎన్క్రిప్ట్ చేయని ట్రాఫిక్ను అడ్డుకోగలరనే వాస్తవం గురించి నేను మౌనంగా ఉన్నాను.
స్పష్టమైన విజయం ఉన్నప్పటికీ, ఇది మమ్మల్ని లక్ష్యానికి దగ్గరగా తీసుకురాలేదు. చాలా సేపు కూర్చుని విలువైన సమాచారాన్ని బయటకు తీయడం సాధ్యమైంది, కానీ అది అక్కడ కనిపించడం వాస్తవం కాదు మరియు నెట్వర్క్ యొక్క సమగ్రత పరంగా దాడి చాలా ప్రమాదకరం.
సేవల్లోకి మరొక త్రవ్విన తర్వాత, ఒక ఆసక్తికరమైన ఆలోచన గుర్తుకు వచ్చింది. రెస్పాండర్ అని పిలువబడే అటువంటి యుటిలిటీ ఉంది (ఈ పేరుతో ఉపయోగం యొక్క ఉదాహరణలను కనుగొనడం సులభం), ఇది ప్రసార అభ్యర్థనలను "విషం" చేయడం ద్వారా, SMB, HTTP, LDAP మొదలైన వివిధ ప్రోటోకాల్ల ద్వారా కనెక్షన్లను రేకెత్తిస్తుంది. వివిధ మార్గాల్లో, ఆపై ప్రామాణీకరించడానికి కనెక్ట్ అయిన ప్రతి ఒక్కరినీ అడుగుతుంది మరియు NTLM ద్వారా మరియు బాధితునికి పారదర్శక రీతిలో ప్రామాణీకరణ జరిగేలా దాన్ని సెటప్ చేస్తుంది. చాలా తరచుగా, దాడి చేసే వ్యక్తి ఈ విధంగా NetNTLMv2 హ్యాండ్షేక్లను సేకరిస్తాడు మరియు వాటి నుండి, నిఘంటువును ఉపయోగించి, వినియోగదారు డొమైన్ పాస్వర్డ్లను త్వరగా రికవర్ చేస్తాడు. ఇక్కడ నేను అలాంటిదే కోరుకున్నాను, కానీ వినియోగదారులు "గోడ వెనుక" కూర్చున్నారు, లేదా బదులుగా, వారు ఫైర్వాల్ ద్వారా వేరు చేయబడి, బ్లూ కోట్ ప్రాక్సీ క్లస్టర్ ద్వారా వెబ్ను యాక్సెస్ చేసారు.
గుర్తుంచుకోండి, యాక్టివ్ డైరెక్టరీ డొమైన్ పేరు "బాహ్య" డొమైన్తో సమానంగా ఉందని నేను పేర్కొన్నాను, అంటే అది company.ru? కాబట్టి, Windows, మరింత ఖచ్చితంగా ఇంటర్నెట్ ఎక్స్ప్లోరర్ (మరియు ఎడ్జ్ మరియు క్రోమ్), సైట్ ఏదైనా “ఇంట్రానెట్ జోన్”లో ఉందని వారు భావిస్తే, NTLM ద్వారా HTTPలో పారదర్శకంగా ప్రామాణీకరించడానికి వినియోగదారుని అనుమతిస్తుంది. "ఇంట్రానెట్" సంకేతాలలో ఒకటి "బూడిద" IP చిరునామా లేదా చిన్న DNS పేరు, అంటే చుక్కలు లేకుండా యాక్సెస్ చేయడం. వారు "తెలుపు" IP మరియు DNS పేరుతో preobrazhensky.company.ruతో సర్వర్ను కలిగి ఉన్నారు మరియు డొమైన్ మెషీన్లు సాధారణంగా యాక్టివ్ డైరెక్టరీ డొమైన్ ప్రత్యయాన్ని DHCP ద్వారా సరళీకృత పేరు నమోదు కోసం స్వీకరిస్తాయి కాబట్టి, వారు చిరునామా పట్టీలో URLని మాత్రమే వ్రాయవలసి ఉంటుంది. preobrazhensky, తద్వారా వారు రాజీపడిన యూరాలజిస్ట్ సర్వర్కు సరైన మార్గాన్ని కనుగొంటారు, దీనిని ఇప్పుడు "ఇంట్రానెట్" అని పిలుస్తారని మర్చిపోకుండా. అంటే, అదే సమయంలో అతనికి తెలియకుండానే వినియోగదారు యొక్క NTLM-హ్యాండ్షేక్ని నాకు ఇవ్వడం. క్లయింట్ బ్రౌజర్లు ఈ సర్వర్ను సంప్రదించాల్సిన తక్షణ అవసరం గురించి ఆలోచించమని బలవంతం చేయడమే మిగిలి ఉంది.
అద్భుతమైన ఇంటర్సెప్టర్-ఎన్జి యుటిలిటీ రక్షించబడింది (ధన్యవాదాలు అడ్డగించువాడు) ఇది మీరు ప్రయాణంలో ట్రాఫిక్ని మార్చడానికి అనుమతించింది మరియు Windows 2003లో గొప్పగా పనిచేసింది. ట్రాఫిక్ ప్రవాహంలో కేవలం JavaScript ఫైల్లను మాత్రమే సవరించడానికి ఇది ప్రత్యేక కార్యాచరణను కలిగి ఉంది. ఒక విధమైన భారీ క్రాస్-సైట్ స్క్రిప్టింగ్ ప్లాన్ చేయబడింది.
బ్లూ కోట్ ప్రాక్సీలు, దీని ద్వారా వినియోగదారులు గ్లోబల్ WEBని యాక్సెస్ చేస్తారు, క్రమానుగతంగా స్టాటిక్ కంటెంట్ను కాష్ చేస్తారు. ట్రాఫిక్ను అడ్డుకోవడం ద్వారా, వారు గడియారం చుట్టూ పనిచేస్తున్నారని స్పష్టమైంది, పీక్ అవర్స్లో కంటెంట్ ప్రదర్శనను వేగవంతం చేయడానికి తరచుగా ఉపయోగించే స్టాటిక్ను అనంతంగా అభ్యర్థిస్తున్నారు. అదనంగా, BlueCoat ఒక నిర్దిష్ట వినియోగదారు-ఏజెంట్ను కలిగి ఉంది, ఇది నిజమైన వినియోగదారు నుండి దానిని స్పష్టంగా గుర్తించింది.
జావాస్క్రిప్ట్ సిద్ధం చేయబడింది, ఇది ఇంటర్సెప్టర్-ఎన్జిని ఉపయోగించి, బ్లూ కోట్ కోసం JS ఫైల్లతో ప్రతి ప్రతిస్పందన కోసం రాత్రి ఒక గంట పాటు అమలు చేయబడింది. స్క్రిప్ట్ కింది వాటిని చేసింది:
వినియోగదారు ఏజెంట్ ద్వారా ప్రస్తుత బ్రౌజర్ని నిర్ణయించారు. ఇది Internet Explorer, Edge లేదా Chrome అయితే, అది పని చేస్తూనే ఉంది.
పేజీ యొక్క DOM ఏర్పడే వరకు నేను వేచి ఉన్నాను.
ఫారమ్ యొక్క src లక్షణంతో DOMలో ఒక అదృశ్య చిత్రం చొప్పించబడింది preobrazhensky:8080/NNNNNNN.png, ఇక్కడ NNN అనేది ఏకపక్ష సంఖ్యలు కాబట్టి బ్లూకోట్ దానిని కాష్ చేయదు.
ఇంజెక్షన్ పూర్తయిందని మరియు ఇకపై చిత్రాలను చొప్పించాల్సిన అవసరం లేదని సూచించడానికి గ్లోబల్ ఫ్లాగ్ వేరియబుల్ని సెట్ చేయండి.
బ్రౌజర్ ఈ చిత్రాన్ని లోడ్ చేయడానికి ప్రయత్నించింది; రాజీపడిన సర్వర్లోని పోర్ట్ 8080లో, TCP టన్నెల్ నా ల్యాప్టాప్కు దాని కోసం వేచి ఉంది, అదే రెస్పాండర్ రన్ అవుతోంది, బ్రౌజర్ NTLM ద్వారా లాగిన్ అవ్వాలి.
రెస్పాండర్ లాగ్ల ద్వారా నిర్ణయించడం ద్వారా, ప్రజలు ఉదయం పనికి వచ్చారు, వారి వర్క్స్టేషన్లను ఆన్ చేసారు, ఆపై సామూహికంగా మరియు గుర్తించబడకుండా యూరాలజిస్ట్ సర్వర్ను సందర్శించడం ప్రారంభించారు, NTLM హ్యాండ్షేక్లను "డ్రెయిన్" చేయడం మర్చిపోకుండా. కరచాలనాలు రోజంతా కురిశాయి మరియు పాస్వర్డ్లను తిరిగి పొందేందుకు స్పష్టమైన విజయవంతమైన దాడి కోసం మెటీరియల్ని స్పష్టంగా సేకరించారు. ప్రతిస్పందన లాగ్లు ఇలా ఉన్నాయి:
వినియోగదారులు యూరాలజిస్ట్ సర్వర్కు భారీ రహస్య సందర్శనలు
ఈ మొత్తం కథ "అంతా బాగానే ఉంది, కానీ అప్పుడు ఒక బమ్మర్ ఉంది, తరువాత అధిగమించబడింది, ఆపై ప్రతిదీ విజయవంతమైంది" అనే సూత్రంపై నిర్మించబడిందని మీరు ఇప్పటికే గమనించి ఉండవచ్చు. కాబట్టి, ఇక్కడ ఒక బమ్మర్ ఉంది. యాభై ప్రత్యేకమైన హ్యాండ్షేక్లలో, ఒక్కటి కూడా బహిర్గతం కాలేదు. మరియు డెడ్ ప్రాసెసర్ ఉన్న ల్యాప్టాప్లో కూడా, ఈ NTLMv2 హ్యాండ్షేక్లు సెకనుకు అనేక వందల మిలియన్ల ప్రయత్నాల వేగంతో ప్రాసెస్ చేయబడతాయనే వాస్తవాన్ని ఇది పరిగణనలోకి తీసుకుంటుంది.
నేను పాస్వర్డ్ మ్యుటేషన్ టెక్నిక్లు, వీడియో కార్డ్, మందమైన డిక్షనరీని ఉపయోగించుకుని వేచి ఉండాల్సి వచ్చింది. చాలా కాలం తర్వాత, "Q11111111....1111111q" ఫారమ్ యొక్క పాస్వర్డ్లతో అనేక ఖాతాలు వెల్లడయ్యాయి, ఇది వినియోగదారులందరూ ఒకప్పుడు వేర్వేరు అక్షరాలతో చాలా పొడవైన పాస్వర్డ్తో ముందుకు రావాలని బలవంతం చేయబడ్డారని సూచిస్తుంది, అది కూడా సంక్లిష్టంగా ఉంటుంది. కానీ మీరు అనుభవజ్ఞుడైన వినియోగదారుని మోసం చేయలేరు మరియు ఈ విధంగా అతను తనను తాను గుర్తుంచుకోవడం సులభం చేసుకున్నాడు. మొత్తంగా, సుమారు 5 ఖాతాలు రాజీ పడ్డాయి మరియు వాటిలో ఒకటి మాత్రమే సేవలకు విలువైన హక్కులను కలిగి ఉంది.
పార్ట్ 3. Roskomnadzor తిరిగి కొట్టాడు
కాబట్టి, మొదటి డొమైన్ ఖాతాలు స్వీకరించబడ్డాయి. మీరు సుదీర్ఘంగా చదివినప్పటి నుండి ఈ సమయానికి నిద్రలోకి జారకపోతే, రెండవ అంశం ప్రమాణీకరణ అవసరం లేని సేవను నేను ప్రస్తావించినట్లు మీరు బహుశా గుర్తుంచుకోవచ్చు: ఇది NTLM ప్రమాణీకరణతో కూడిన వికీ. వాస్తవానికి, మొదట చేయవలసినది అక్కడ ప్రవేశించడం. అంతర్గత నాలెడ్జ్ బేస్ లోకి త్రవ్వడం త్వరగా ఫలితాలను తెచ్చింది:
కంపెనీ స్థానిక నెట్వర్క్కు యాక్సెస్తో డొమైన్ ఖాతాలను ఉపయోగించి ప్రామాణీకరణతో WiFi నెట్వర్క్ను కలిగి ఉంది. ప్రస్తుత డేటా సెట్తో, ఇది ఇప్పటికే పని చేసే దాడి వెక్టర్, కానీ మీరు మీ పాదాలతో కార్యాలయానికి వెళ్లి కస్టమర్ కార్యాలయ భూభాగంలో ఎక్కడో ఉండాలి.
వినియోగదారు స్థానిక నెట్వర్క్లో ఉంటే మరియు అతని డొమైన్ లాగిన్ మరియు పాస్వర్డ్ను నమ్మకంగా గుర్తుంచుకుంటే “సెకండ్ ఫ్యాక్టర్” ప్రామాణీకరణ పరికరాన్ని స్వతంత్రంగా నమోదు చేసుకోవడానికి... అనుమతించే సేవ ఉన్న సూచనను నేను కనుగొన్నాను. ఈ సందర్భంలో, "లోపల" మరియు "బయట" వినియోగదారుకు ఈ సేవ యొక్క పోర్ట్ యొక్క ప్రాప్యత ద్వారా నిర్ణయించబడతాయి. పోర్ట్ ఇంటర్నెట్ నుండి అందుబాటులో లేదు, కానీ DMZ ద్వారా చాలా అందుబాటులో ఉంది.
వాస్తవానికి, నా ఫోన్లోని అప్లికేషన్ రూపంలో రాజీపడిన ఖాతాకు వెంటనే “రెండవ అంశం” జోడించబడింది. చర్య కోసం "ఆమోదించు"/"నిరాకరించు" బటన్లతో ఫోన్కి పుష్ అభ్యర్థనను బిగ్గరగా పంపగల ప్రోగ్రామ్ ఉంది లేదా తదుపరి స్వతంత్ర ప్రవేశం కోసం స్క్రీన్పై OTP కోడ్ను నిశ్శబ్దంగా చూపుతుంది. అంతేకాకుండా, సూచనల ద్వారా మొదటి పద్ధతి మాత్రమే సరైనదిగా భావించబడింది, కానీ OTP పద్ధతి వలె కాకుండా అది పని చేయలేదు.
"సెకండ్ ఫ్యాక్టర్" విచ్ఛిన్నం కావడంతో, నేను సిట్రిక్స్ నెట్స్కేలర్ గేట్వేలో Outlook వెబ్ యాక్సెస్ మెయిల్ మరియు రిమోట్ యాక్సెస్ని యాక్సెస్ చేయగలిగాను. Outlookలోని మెయిల్లో ఆశ్చర్యం ఉంది:
ఈ అరుదైన షాట్లో పెంటెస్టర్లకు రోస్కోమ్నాడ్జోర్ ఎలా సహాయపడుతుందో మీరు చూడవచ్చు
టెలిగ్రామ్ యొక్క ప్రసిద్ధ "అభిమాని" నిరోధించబడిన మొదటి నెలలు ఇవి, వేలాది చిరునామాలతో మొత్తం నెట్వర్క్లు యాక్సెస్ నుండి నిర్దాక్షిణ్యంగా అదృశ్యమయ్యాయి. పుష్ ఎందుకు వెంటనే పని చేయలేదు మరియు నా "బాధితురాలు" ఎందుకు అలారం వినిపించలేదు ఎందుకంటే వారు ఆమె ఖాతాను తెరిచి ఉన్న సమయంలో ఉపయోగించడం ప్రారంభించారు.
సిట్రిక్స్ నెట్స్కేలర్తో పరిచయం ఉన్న ఎవరైనా ఇది సాధారణంగా పిక్చర్ ఇంటర్ఫేస్ను మాత్రమే వినియోగదారుకు తెలియజేసే విధంగా అమలు చేయబడుతుందని ఊహించారు, థర్డ్-పార్టీ అప్లికేషన్లను ప్రారంభించడానికి మరియు డేటాను బదిలీ చేయడానికి టూల్స్ ఇవ్వకూడదని ప్రయత్నిస్తున్నారు, సాధ్యమయ్యే ప్రతి విధంగా చర్యలను పరిమితం చేస్తారు. ప్రామాణిక నియంత్రణ షెల్స్ ద్వారా. నా "బాధితుడు", అతని వృత్తి కారణంగా, 1C మాత్రమే పొందింది:
1C ఇంటర్ఫేస్ చుట్టూ కొంచెం నడిచిన తర్వాత, అక్కడ బాహ్య ప్రాసెసింగ్ మాడ్యూల్స్ ఉన్నాయని నేను కనుగొన్నాను. అవి ఇంటర్ఫేస్ నుండి లోడ్ చేయబడతాయి మరియు హక్కులు మరియు సెట్టింగ్లను బట్టి అవి క్లయింట్ లేదా సర్వర్లో అమలు చేయబడతాయి.
స్ట్రింగ్ని అంగీకరించి, దాన్ని అమలు చేసే ప్రాసెసింగ్ని సృష్టించమని నేను నా 1C ప్రోగ్రామర్ స్నేహితులను అడిగాను. 1C భాషలో, ప్రక్రియను ప్రారంభించడం ఇలా కనిపిస్తుంది (ఇంటర్నెట్ నుండి తీసుకోబడింది). 1C భాష యొక్క వాక్యనిర్మాణం దాని సహజత్వంతో రష్యన్ మాట్లాడే ప్రజలను ఆశ్చర్యపరుస్తుందని మీరు అంగీకరిస్తారా?
ప్రాసెసింగ్ ఖచ్చితంగా అమలు చేయబడింది; ఇది పెంటెస్టర్లు “షెల్” అని పిలుస్తుంది - ఇంటర్నెట్ ఎక్స్ప్లోరర్ దాని ద్వారా ప్రారంభించబడింది.
ఇంతకు ముందు, భూభాగానికి పాస్లను ఆర్డర్ చేయడానికి మిమ్మల్ని అనుమతించే సిస్టమ్ చిరునామా మెయిల్లో కనుగొనబడింది. నేను WiFi దాడి వెక్టార్ని ఉపయోగించాల్సి వస్తే పాస్ని ఆర్డర్ చేసాను.
కస్టమర్ కార్యాలయంలో రుచికరమైన ఉచిత క్యాటరింగ్ ఇప్పటికీ ఉందని ఇంటర్నెట్లో చర్చ ఉంది, కానీ నేను ఇప్పటికీ రిమోట్గా దాడిని అభివృద్ధి చేయడానికి ఇష్టపడతాను, ఇది ప్రశాంతంగా ఉంది.
Citrix నడుస్తున్న అప్లికేషన్ సర్వర్లో AppLocker యాక్టివేట్ చేయబడింది, కానీ అది బైపాస్ చేయబడింది. అదే Meterpreter DNS ద్వారా లోడ్ చేయబడింది మరియు ప్రారంభించబడింది, ఎందుకంటే http(లు) వెర్షన్లు కనెక్ట్ కావడానికి ఇష్టపడలేదు మరియు ఆ సమయంలో నాకు అంతర్గత ప్రాక్సీ చిరునామా తెలియదు. మార్గం ద్వారా, ఈ క్షణం నుండి, బాహ్య పెంటెస్ట్ తప్పనిసరిగా పూర్తిగా అంతర్గతంగా మారింది.
పార్ట్ 4. వినియోగదారులకు నిర్వాహక హక్కులు చెడ్డవి, సరేనా?
డొమైన్ యూజర్ సెషన్పై నియంత్రణ సాధించేటప్పుడు పెంటెస్టర్ చేసే మొదటి పని డొమైన్లోని హక్కుల గురించిన మొత్తం సమాచారాన్ని సేకరించడం. డొమైన్ కంట్రోలర్ నుండి LDAP ప్రోటోకాల్ ద్వారా మరియు SMB ద్వారా వినియోగదారులు, కంప్యూటర్లు, భద్రతా సమూహాల గురించి సమాచారాన్ని స్వయంచాలకంగా డౌన్లోడ్ చేసుకోవడానికి మిమ్మల్ని అనుమతించే BloodHound యుటిలిటీ ఉంది - ఇటీవల ఏ వినియోగదారు ఎక్కడ మరియు స్థానిక నిర్వాహకుడు అనే దాని గురించిన సమాచారం.
డొమైన్ అడ్మినిస్ట్రేటర్ హక్కులను స్వాధీనం చేసుకునే విలక్షణమైన సాంకేతికత మార్పులేని చర్యల చక్రం వలె సరళీకృతంగా కనిపిస్తుంది:
మేము ఇప్పటికే క్యాప్చర్ చేసిన డొమైన్ ఖాతాల ఆధారంగా స్థానిక అడ్మినిస్ట్రేటర్ హక్కులు ఉన్న డొమైన్ కంప్యూటర్లకు వెళ్తాము.
మేము Mimikatzని ప్రారంభించాము మరియు కాష్ చేసిన పాస్వర్డ్లు, Kerberos టిక్కెట్లు మరియు ఇటీవల ఈ సిస్టమ్లోకి లాగిన్ చేసిన డొమైన్ ఖాతాల NTLM హ్యాష్లను పొందుతాము. లేదా మేము lsass.exe ప్రాసెస్ యొక్క మెమరీ ఇమేజ్ని తీసివేసి, మన వైపు కూడా అదే చేస్తాము. డిఫాల్ట్ సెట్టింగ్లతో 2012R2/Windows 8.1 కంటే తక్కువ వయస్సు ఉన్న Windowsతో ఇది బాగా పనిచేస్తుంది.
రాజీపడిన ఖాతాలకు స్థానిక నిర్వాహక హక్కులు ఎక్కడ ఉన్నాయో మేము నిర్ణయిస్తాము. మేము మొదటి పాయింట్ పునరావృతం చేస్తాము. ఒక దశలో మేము మొత్తం డొమైన్ కోసం నిర్వాహక హక్కులను పొందుతాము.
"చక్రం ముగింపు;", 1C ప్రోగ్రామర్లు ఇక్కడ వ్రాస్తారు.
కాబట్టి, మా వినియోగదారు Windows 7తో కేవలం ఒక హోస్ట్లో స్థానిక నిర్వాహకుడిగా మారారు, దాని పేరులో “VDI” లేదా “వర్చువల్ డెస్క్టాప్ ఇన్ఫ్రాస్ట్రక్చర్”, వ్యక్తిగత వర్చువల్ మెషీన్లు ఉన్నాయి. బహుశా, VDI సేవ యొక్క రూపకర్త అర్థం VDI అనేది వినియోగదారు యొక్క వ్యక్తిగత ఆపరేటింగ్ సిస్టమ్ కాబట్టి, వినియోగదారు తనకు నచ్చిన విధంగా సాఫ్ట్వేర్ వాతావరణాన్ని మార్చినప్పటికీ, హోస్ట్ ఇప్పటికీ "రీలోడ్" చేయబడవచ్చు. సాధారణంగా ఆలోచన మంచిదని నేను కూడా అనుకున్నాను, నేను ఈ వ్యక్తిగత VDI హోస్ట్కి వెళ్లి అక్కడ గూడు కట్టుకున్నాను:
నేను అక్కడ ఓపెన్విపిఎన్ క్లయింట్ను ఇన్స్టాల్ చేసాను, అది ఇంటర్నెట్ ద్వారా నా సర్వర్కు సొరంగం చేసింది. క్లయింట్ డొమైన్ ప్రామాణీకరణతో అదే బ్లూ కోట్ ద్వారా వెళ్ళవలసి వచ్చింది, కానీ ఓపెన్విపిఎన్ వారు చెప్పినట్లుగా “బాక్స్ వెలుపల” చేసింది.
VDIలో OpenSSH ఇన్స్టాల్ చేయబడింది. బాగా, నిజంగా, SSH లేకుండా Windows 7 అంటే ఏమిటి?
ఇది ప్రత్యక్షంగా కనిపించింది. ఇవన్నీ Citrix మరియు 1C ద్వారా జరగాలని నేను మీకు గుర్తు చేస్తాను:
పొరుగు కంప్యూటర్లకు యాక్సెస్ని ప్రోత్సహించడానికి ఒక టెక్నిక్, మ్యాచ్ కోసం స్థానిక అడ్మినిస్ట్రేటర్ పాస్వర్డ్లను తనిఖీ చేయడం. ఇక్కడ అదృష్టం వెంటనే ఎదురుచూసింది: డిఫాల్ట్ లోకల్ అడ్మినిస్ట్రేటర్ యొక్క NTLM హాష్ (అతను అకస్మాత్తుగా అడ్మినిస్ట్రేటర్ అని పిలువబడ్డాడు) పొరుగున ఉన్న VDI హోస్ట్లకు పాస్-ది-హాష్ దాడి ద్వారా సంప్రదించబడింది, అందులో అనేక వందల మంది ఉన్నారు. అయితే, దాడి వెంటనే వారిని తాకింది.
ఇక్కడే VDI నిర్వాహకులు తమను తాము రెండుసార్లు కాల్చుకున్నారు:
మొదటి సారి VDI మెషీన్లను LAPS కిందకు తీసుకురాలేదు, ముఖ్యంగా VDIకి భారీగా అమర్చబడిన ఇమేజ్ నుండి అదే స్థానిక నిర్వాహకుని పాస్వర్డ్ని ఉంచడం.
పాస్-ది-హాష్ దాడులకు గురయ్యే ఏకైక స్థానిక ఖాతా డిఫాల్ట్ అడ్మినిస్ట్రేటర్. అదే పాస్వర్డ్తో కూడా, సంక్లిష్ట యాదృచ్ఛిక పాస్వర్డ్తో రెండవ స్థానిక నిర్వాహక ఖాతాను సృష్టించడం మరియు డిఫాల్ట్ను నిరోధించడం ద్వారా భారీ రాజీని నివారించడం సాధ్యమవుతుంది.
ఆ Windowsలో SSH సేవ ఎందుకు? చాలా సులభం: ఇప్పుడు OpenSSH సర్వర్ వినియోగదారు పనిలో జోక్యం చేసుకోకుండా అనుకూలమైన ఇంటరాక్టివ్ కమాండ్ షెల్ను అందించడమే కాకుండా VDIలో సాక్స్5 ప్రాక్సీని కూడా అందించింది. ఈ సాక్స్ ద్వారా, నేను SMB ద్వారా కనెక్ట్ అయ్యాను మరియు ఈ వందల VDI మెషీన్ల నుండి కాష్ చేసిన ఖాతాలను సేకరించాను, ఆపై వాటిని BloodHound గ్రాఫ్లలో ఉపయోగించి డొమైన్ అడ్మినిస్ట్రేటర్కి మార్గం కోసం వెతికాను. వందలాది మంది హోస్ట్లు నా వద్ద ఉన్నందున, నేను ఈ మార్గాన్ని చాలా త్వరగా కనుగొన్నాను. డొమైన్ అడ్మినిస్ట్రేటర్ హక్కులు పొందబడ్డాయి.
ఇంటర్నెట్ నుండి ఇదే విధమైన శోధనను చూపుతున్న చిత్రం ఇక్కడ ఉంది. అడ్మినిస్ట్రేటర్ ఎవరు ఎక్కడ ఉన్నారు మరియు ఎవరు ఎక్కడ లాగిన్ అయ్యారో కనెక్షన్లు చూపుతాయి.
మార్గం ద్వారా, ప్రాజెక్ట్ ప్రారంభం నుండి పరిస్థితిని గుర్తుంచుకోండి - "సోషల్ ఇంజనీరింగ్ ఉపయోగించవద్దు." కాబట్టి, సామాన్యమైన ఫిషింగ్ను ఉపయోగించడం ఇంకా సాధ్యమైతే, స్పెషల్ ఎఫెక్ట్లతో కూడిన ఈ బాలీవుడ్ మొత్తం ఎంతవరకు కత్తిరించబడుతుందో ఆలోచించాలని నేను ప్రతిపాదిస్తున్నాను. కానీ వ్యక్తిగతంగా, ఇవన్నీ చేయడం నాకు చాలా ఆసక్తికరంగా ఉంది. మీరు దీన్ని చదివి ఆనందించారని నేను ఆశిస్తున్నాను. వాస్తవానికి, ప్రతి ప్రాజెక్ట్ చాలా చమత్కారంగా కనిపించదు, కానీ మొత్తంగా పని చాలా సవాలుగా ఉంటుంది మరియు అది స్తబ్దంగా ఉండటానికి అనుమతించదు.
బహుశా ఎవరికైనా ఒక ప్రశ్న ఉంటుంది: మిమ్మల్ని మీరు ఎలా రక్షించుకోవాలి? ఈ వ్యాసం కూడా అనేక పద్ధతులను వివరిస్తుంది, వీటిలో చాలా వరకు Windows నిర్వాహకులకు కూడా తెలియదు. అయినప్పటికీ, నేను వాటిని హాక్నీడ్ సూత్రాలు మరియు సమాచార భద్రతా చర్యల కోణం నుండి చూడాలని ప్రతిపాదిస్తున్నాను:
కాలం చెల్లిన సాఫ్ట్వేర్ను ఉపయోగించవద్దు (ప్రారంభంలో Windows 2003 గుర్తుందా?)
అనవసరమైన సిస్టమ్లను ఆన్లో ఉంచవద్దు (యూరాలజిస్ట్ వెబ్సైట్ ఎందుకు ఉంది?)
బలం కోసం యూజర్ పాస్వర్డ్లను మీరే చెక్ చేసుకోండి (లేకపోతే సైనికులు... పెంటెస్టర్లు దీన్ని చేస్తారు)
వేర్వేరు ఖాతాలకు ఒకే పాస్వర్డ్లు లేవు (VDI రాజీ)
మరియు ఇతర
వాస్తవానికి, ఇది అమలు చేయడం చాలా కష్టం, కానీ తదుపరి వ్యాసంలో ఇది చాలా సాధ్యమేనని ఆచరణలో చూపుతాము.