Ин мақола дар асоси як санҷиши бомуваффақият, ки мутахассисони Group-IB чанд сол пеш гузаронида буданд, навишта шудааст: ҳикояе рӯй дод, ки онро метавон барои филм дар Болливуд мутобиқ кард. Ҳоло, эҳтимол, вокуниши хонанда чунин хоҳад буд: "Оҳ, мақолаи дигари PR, боз инҳо тасвир карда мешаванд, онҳо чӣ қадар хубанд, харидани пентестро фаромӯш накунед." Хуб, аз як тараф, он аст. Бо вуҷуди ин, як қатор сабабҳои дигари пайдоиши ин мақола вуҷуд доранд. Ман мехостам нишон диҳам, ки маҳз пентестерҳо чӣ кор мекунанд, ин кор то чӣ андоза ҷолиб ва ғайриоддӣ буда метавонад, чӣ гуна ҳолатҳои хандаовар дар лоиҳаҳо ба вуҷуд омада метавонанд ва муҳимтар аз ҳама, маводи зиндаро бо мисолҳои воқеӣ нишон диҳам.
Барои барқарор кардани мувозинати хоксорӣ дар ҷаҳон, пас аз чанде мо дар бораи як пентест, ки хуб набуд, менависем. Мо нишон медиҳем, ки чӣ гуна равандҳои хуб тарҳрезишуда дар ширкат метавонанд аз як қатор ҳамлаҳо, ҳатто аз ҳамлаҳои хуб омодашуда муҳофизат кунанд, зеро ин равандҳо вуҷуд доранд ва воқеан кор мекунанд.
Барои муштарӣ дар ин мақола, ҳама чиз умуман аъло буд, ҳадди аққал аз 95% бозори Федератсияи Русия, мувофиқи эҳсосоти мо, аммо як қатор нозукиҳои хурде буданд, ки як силсилаи тӯлонии рӯйдодҳоро ташкил доданд, ки аввал боиси гузориши дароз дар бораи кор , ва баъд ба ин мақола.
Пас, биёед попкорн захира кунем ва ба достони детектив хуш омадед. Калом - Павел Супрунюк, мудири техникии шуъбаи «Аудит ва консалтинг»-и Груп-ИБ.
Кисми 1. Духтур Почкин
2018 Муштарӣ вуҷуд дорад - як ширкати IT-технологии баланд, ки худаш ба мизоҷони зиёд хизмат мерасонад. Мехоҳад ба савол ҷавоб ёбед: оё бе ягон дониши ибтидоӣ ва дастрасӣ тавассути Интернет кор карда, ҳуқуқи администратори домени Active Directory ба даст овардан мумкин аст? Ман ба ягон муҳандисии иҷтимоӣ таваҷҷӯҳ надорам (), онҳо қасдан ба кор дахолат карданӣ нестанд, аммо онҳо метавонанд тасодуфан - масалан, сервери аҷиби коркунандаро дубора бор кунанд. Ҳадафи иловагӣ ин муайян кардани шумораи зиёди векторҳои ҳамла дар муқобили периметри беруна мебошад. Ширкат мунтазам чунин санҷишҳоро мегузаронад ва ҳоло мӯҳлати санҷиши нав фаро расидааст. Шароит қариб маъмулӣ, мувофиқ, фаҳмо аст. Биёед оғоз кунем.
Номи муштарӣ вуҷуд дорад - бигзор он "Ширкат" бошад, бо вебсайти асосӣ . Албатта, фармоишгар ба таври гуногун даъват карда мешавад, аммо дар ин мақола ҳама чиз ғайришахсӣ хоҳад буд.
Ман разведкаи шабакаро мегузаронам - бифаҳмед, ки кадом суроғаҳо ва доменҳо бо фармоишгар ба қайд гирифта шудаанд, диаграммаи шабакаро кашед, чӣ гуна хидматҳо ба ин суроғаҳо тақсим карда мешаванд. Ман натиҷа мегирам: зиёда аз 4000 суроғаҳои IP зинда. Ман ба доменҳои ин шабакаҳо назар мекунам: хушбахтона, аксарияти куллӣ шабакаҳое мебошанд, ки барои муштариёни муштарӣ пешбинӣ шудаанд ва мо расман ба онҳо таваҷҷӯҳ зоҳир намекунем. Муштарӣ низ ҳамин тавр фикр мекунад.
Як шабака бо 256 суроға боқӣ мондааст, ки барои онҳо аллакай фаҳмиши тақсимоти доменҳо ва зердоменҳо аз рӯи суроғаҳои IP мавҷуд аст, маълумот дар бораи портҳои сканшуда мавҷуд аст, ки шумо метавонед ба хидматҳои ҷолиб назар кунед. Дар баробари ин, ҳама намуди сканерҳо дар суроғаҳои IP дастрас ва алоҳида дар вебсайтҳо оғоз карда мешаванд.
Хизматҳои зиёде мавҷуданд. Одатан, ин шодӣ барои пентестер ва интизории ғалабаи зуд аст, зеро чӣ қадаре ки хидматҳо зиёд бошанд, майдони ҳамла васеътар мешавад ва ёфтани артефакт осонтар мешавад. Аз назар гузаронии фаврӣ ба вебсайтҳо нишон дод, ки аксари онҳо веб-интерфейсҳои маҳсулоти маъруфи ширкатҳои бузурги ҷаҳонӣ мебошанд, ки аз рӯи ҳама намуди зоҳирӣ ба шумо мегӯянд, ки онҳо хушнуд нестанд. Онҳо номи корбар ва паролро мепурсанд, майдонро барои ворид кардани омили дуюм ҷунбонда, сертификати муштарии TLS талаб мекунанд ё онро ба Microsoft ADFS мефиристанд. Баъзеҳо аз Интернет дастрас нестанд. Барои баъзеҳо, шумо бешубҳа бояд як муштарии махсуси пардохтшаванда барои се маош дошта бошед ё URL-и дақиқи воридшударо бидонед. Биёед як ҳафтаи дигари ноумедии тадриҷанро дар раванди кӯшиши "рахна кардани" версияҳои нармафзор барои осебпазириҳои маълум, ҷустуҷӯи мундариҷаи пинҳон дар роҳҳои веб ва ҳисобҳои ифшошуда аз хидматҳои тарафи сеюм ба монанди LinkedIn, кӯшиши тахмин кардани паролҳо бо истифода аз онҳо, гузаред. ҳамчун кофтукови осебпазирӣ дар вебсайтҳои худнависӣ - дар омади гап, тибқи омор, ин вектори умедбахши ҳамлаи беруна имрӯз аст. Ман дарҳол таппончаи филмеро, ки баъдан тирандозӣ карда буд, қайд мекунам.
Ҳамин тавр, мо ду сайтеро ёфтем, ки аз садҳо хидматҳо фарқ мекарданд. Ин сайтҳо як чизи умумӣ доштанд: агар шумо ба разведкаи дақиқи шабака аз рӯи домен машғул нашавед, аммо ба бандарҳои кушода назар кунед ё сканери осебпазириро бо истифода аз диапазони маълуми IP ҳадаф гиред, он гоҳ ин сайтҳо аз сканкунӣ гурехта мешаванд ва танҳо нахоҳанд буд. бе донистани номи DNS намоён аст. Эҳтимол, онҳо ҳадди аққал пештар пазмон шуда буданд ва асбобҳои автоматии мо бо онҳо ҳеҷ гуна мушкилот пайдо накарданд, ҳатто агар онҳо мустақиман ба манбаъ фиристода шаванд.
Воқеан, дар бораи он чизе ки сканерҳои қаблан ба кор андохташуда дар маҷмӯъ пайдо шуданд. Ба шумо хотиррасон мекунам: барои баъзе одамон "пентест" ба "сканкунии автоматӣ" баробар аст. Аммо сканерҳо дар ин лоиҳа чизе нагуфтанд. Хуб, ҳадди аксар аз ҷониби осебпазирии миёна (3 аз 5 аз рӯи шиддат) нишон дода шудааст: дар баъзе хидматҳо шаҳодатномаи бади TLS ё алгоритмҳои рамзгузории кӯҳна ва дар аксари сайтҳо Clickjacking. Аммо ин шуморо ба ҳадафатон намерасонад. Шояд сканерҳо дар ин ҷо муфидтар бошанд, аммо ман ба шумо хотиррасон мекунам: худи муштарӣ метавонад чунин барномаҳоро харад ва худро бо онҳо санҷад ва аз рӯи натиҷаҳои ногувор, ӯ аллакай тафтиш кардааст.
Биёед ба сайтҳои "ғайриоддӣ" баргардем. Аввалин чизе монанди Викии маҳаллӣ дар суроғаи ғайристандартӣ аст, аммо дар ин мақола бигзор он wiki.company[.]ru бошад. Вай инчунин фавран логин ва паролро дархост кард, аммо тавассути NTLM дар браузер. Барои корбар, ин як равзанаи аскетӣ ба назар мерасад, ки дархости ворид кардани номи корбар ва паролро талаб мекунад. Ва ин таҷрибаи бад аст.
Як ёддошт хурд. NTLM дар вебсайтҳои периметрӣ бо як қатор сабабҳо бад аст. Сабаби аввал ин аст, ки номи домени Active Directory ошкор мешавад. Дар мисоли мо, он низ ба монанди номи DNS "берунӣ" company.ru шуд. Бо донистани ин, шумо метавонед як чизи зарароварро бодиққат омода кунед, то он танҳо дар мошини домени созмон иҷро карда шавад, на дар баъзе қуттиҳо. Сониян, аутентификатсия мустақиман тавассути контролери домен тавассути NTLM (ҳайратовар, дуруст?), бо тамоми хусусиятҳои сиёсати шабакавии "дохилӣ", аз ҷумла бастани ҳисобҳо аз зиёд шудани шумораи кӯшишҳои воридшавии парол мегузарад. Агар ҳамлакунанда логинҳоро фаҳмад, вай паролҳоро барои онҳо месанҷад. Агар шумо барои бастани ҳисобҳо аз ворид кардани паролҳои нодуруст танзим карда шуда бошед, он кор мекунад ва ҳисоб баста мешавад. Сеюм, ба ин гуна аутентификатсия омили дуюмро илова кардан ғайриимкон аст. Агар касе аз хонандагон то ҳол медонад, ки чӣ тавр, лутфан ба ман хабар диҳед, ин воқеан ҷолиб аст. Чорум, осебпазирӣ ба ҳамлаҳои гузаранда. ADFS, аз ҷумла, барои муҳофизат аз ин ҳама ихтироъ шудааст.
Як хусусияти бади маҳсулоти Microsoft вуҷуд дорад: ҳатто агар шумо ин гуна NTLM-ро махсусан нашр накарда бошед ҳам, он ҳадди аққал дар OWA ва Lync ба таври нобаёнӣ насб карда мешавад.
Зимнан, муаллифи ин матлаб ҳамагӣ дар як соат бо ҳамин усул тасодуфан тақрибан 1000 суратҳисоби кормандони як бонки бузургро масдуд карда, сипас то андозае рангпарида намуд. Хидматҳои IT-и бонк низ рангоранг буданд, аммо ҳама чиз хуб ва ба таври мувофиқ анҷом ёфт, моро ҳатто таъриф карданд, ки аввалин шуда ин мушкилотро пайдо кардем ва ҳалли зуд ва қатъиро ба вуҷуд овардем.
Дар сайти дуюм суроғаи "аз афташ як навъ soyad.company.ru" буд. Онро тавассути Google пайдо кардам, чизе монанди ин дар саҳифаи 10. Тарҳ аз аввали солҳои XNUMX-ум буд ва як шахси мӯҳтарам ба он аз саҳифаи асосӣ менигарист, чизе монанди ин:
Дар ин ҷо ман кадре аз «Дили саг»-ро гирифтам, аммо бовар кунед, ки он ба таври норавшан шабоҳат дошт, ҳатто тарҳи ранг бо оҳангҳои шабеҳ буд. Бигзор сайт даъват карда шавад preobrazhensky.company.ru.
Ин як вебсайти шахсӣ буд... барои уролог. Ман ҳайрон будам, ки вебсайти уролог дар зердомени як ширкати баландтехнологӣ чӣ кор мекунад. Ҷустуҷӯи зуд дар Google нишон дод, ки ин табиб муассиси яке аз шахсони ҳуқуқии муштарии мост ва ҳатто дар сармояи оинномавӣ тақрибан 1000 рубл саҳм гузоштааст. Эҳтимол сайт чандин сол пеш сохта шуда бошад ва захираҳои сервери муштарӣ ҳамчун хостинг истифода мешуданд. Сайт кайҳо аҳамияти худро гум кардааст, аммо бо баъзе сабабҳо он муддати тӯлонӣ кор мекард.
Дар робита ба осебпазирӣ, худи вебсайт бехатар буд. Ба пеш нигоҳ карда, ман мегӯям, ки ин маҷмӯи иттилооти статикӣ буд - саҳифаҳои оддии html бо тасвирҳои воридшуда дар шакли гурдаҳо ва масонаҳо. Чунин сайтро «шикандан» бефоида аст.
Аммо сервери веб дар зер ҷолибтар буд. Аз рӯи сарлавҳаи сервери HTTP, он дорои IIS 6.0 буд, яъне он Windows 2003-ро ҳамчун системаи оператсионӣ истифода кардааст. Сканнер қаблан муайян карда буд, ки ин вебсайти махсуси уролог, бар хилофи дигар ҳостҳои виртуалӣ дар ҳамон веб, ба фармони PROPFIND посух додааст, ки маънои онро дорад, ки WebDAV-ро иҷро мекунад. Дар омади гап, сканер ин маълумотро бо тамғаи Info баргардонид (ба забони гузоришҳои сканер, ин хатари пасттарин аст) - чунин чизҳо одатан ба таври оддӣ гузаронида мешаванд. Дар якҷоягӣ, ин таъсири ҷолибе дод, ки танҳо пас аз кофтани навбатӣ дар Google ошкор шуд: осебпазирии камёфт фаромадани буферӣ, ки бо маҷмӯи брокерҳои Shadow, аз ҷумла CVE-2017-7269, ки аллакай истисмори омода дошт. Ба ибораи дигар, агар шумо Windows 2003 дошта бошед ва WebDAV дар IIS кор кунад, мушкилот ба миён меояд. Ҳарчанд дар истеҳсоли Windows 2003 дар соли 2018 кор кардан худ як мушкилот аст.
Истисмор дар Metasploit анҷом ёфт ва фавран бо сарборе санҷида шуд, ки дархости DNS-ро ба хидмати назоратшаванда фиристод - Burp Collaborator одатан барои гирифтани дархостҳои DNS истифода мешавад. Ба тааҷҷуби ман, он бори аввал кор кард: нокаут DNS гирифта шуд. Баъдан, кӯшиши эҷоди пайвасти бозгашт тавассути порти 80 (яъне пайвасти шабакавӣ аз сервер ба ҳамлагар, бо дастрасӣ ба cmd.exe дар мизбони ҷабрдида) буд, аммо баъд фиаско рӯй дод. Пайвастшавӣ ба вуқӯъ наомад ва пас аз кӯшиши сеюми истифода аз сайт, дар баробари ҳамаи тасвирҳои ҷолиб, то абад нопадид шуд.
Одатан, пас аз ин мактуб бо услуби "муштарӣ, бедор шавед, мо ҳама чизро партофтаем". Аммо ба мо гуфтанд, ки сайт ба равандҳои тиҷоратӣ ҳеҷ иртиботе надорад ва дар он ҷо бесабаб, мисли тамоми сервер кор мекунад ва мо метавонем аз ин манбаъ мувофиқи хоҳишамон истифода барем.
Тақрибан як рӯз баъд сайт ногаҳон худ аз худ кор кард. Пас аз сохтани як курсӣ аз WebDAV дар IIS 6.0, ман фаҳмидам, ки танзимоти пешфарз ин аст, ки равандҳои коргари IIS ҳар 30 соат аз нав оғоз кунанд. Яъне, вақте ки назорат аз shellcode хориҷ шуд, раванди коргарии IIS ба итмом расид, пас он якчанд маротиба худро аз нав оғоз кард ва сипас барои 30 соат истироҳат кард.
Азбаски пайвасти бозгашт ба tcp бори аввал ноком шуд, ман ин мушкилотро ба порти пӯшида марбут кардам. Яъне, вай мавҷудияти як навъ девори девориро тахмин кард, ки имкон намедиҳад, ки пайвастҳои содиротӣ аз берун гузаранд. Ман ба идора кардани кодҳои shell, ки тавассути бисёр бандарҳои tcp ва udp ҷустуҷӯ мекарданд, оғоз кардам, ҳеҷ таъсире набуд. Боркунии баръакси пайвастшавӣ тавассути http(ҳо) аз Metasploit кор накард - meterpreter/reverse_http(s). Ногаҳон, пайвастшавӣ ба ҳамон бандари 80 муқаррар карда шуд, аммо дарҳол қатъ шуд. Ман инро ба амали IPS-и ҳанӯз хаёлӣ рабт додам, ки трафики ҳисобкунакро дӯст намедошт. Бо дарназардошти он, ки пайвасти холиси tcp ба порти 80 нагузаштааст, аммо пайвасти http гузашт, ман ба хулосае омадам, ки прокси http дар система ягон хел танзим шудааст.
Ман ҳатто meterpreter-ро тавассути DNS кӯшиш кардам (ташаккур барои саъю кӯшиши шумо, лоиҳаҳои зиёдеро захира кард), бо ёдоварӣ аз муваффақияти аввалин, аммо он ҳатто дар стенд кор накард - коди shell барои ин осебпазирӣ хеле ҳаҷм буд.
Дар асл, ин чунин менамуд: 3-4 кӯшиши ҳамла дар давоми 5 дақиқа, баъд 30 соат интизор шудан. Ва ҳамин тавр, се ҳафта пай дар пай. Ман ҳатто як ёдраскуниро гузоштам, то вақтро беҳуда сарф накунам. Илова бар ин, дар рафтори муҳити озмоишӣ ва истеҳсолӣ фарқият вуҷуд дошт: барои ин осебпазирӣ ду эксплойтҳои шабеҳ мавҷуд буданд, яке аз Metasploit, дуюм аз Интернет, ки аз версияи Shadow Brokers табдил дода шудаанд. Ҳамин тавр, танҳо Metasploit дар ҷанг озмуда шуд ва танҳо дуюмаш дар курсӣ санҷида шуд, ки ислоҳро боз ҳам мушкилтар кард ва мағзи сарро вайрон мекард.
Дар ниҳоят, коди shell, ки файли exe-ро аз сервери додашуда тавассути http зеркашӣ кард ва онро дар системаи мақсаднок оғоз кард, самаранок буд. Рамзи shell ба қадри кофӣ хурд буд, ки мувофиқат кунад, аммо ҳадди аққал он кор мекард. Азбаски сервер трафики TCP-ро тамоман дӯст намедошт ва http(ҳо) барои мавҷудияти meterpreter тафтиш карда шуд, ман қарор додам, ки роҳи зудтарин зеркашӣ кардани файли exe, ки дорои DNS-meterpreter мебошад, тавассути ин коди shell.
Дар ин ҷо боз як мушкилот ба миён омад: ҳангоми зеркашии файли exe ва тавре ки кӯшишҳо нишон доданд, новобаста аз он, ки зеркашӣ қатъ карда шуд. Боз, ягон дастгоҳи амниятӣ байни сервери ман ва уролог трафики http-ро бо exe дар дохили он дӯст намедошт. Чунин ба назар мерасид, ки ҳалли "зуд" ин тағир додани коди shell-ро дар бар мегирад, то он трафики http-ро дар парвоз халалдор кунад, то маълумоти абстрактии бинарӣ ба ҷои exe интиқол дода шавад. Ниҳоят, ҳамла муваффақ шуд, назорат тавассути канали лоғар DNS гирифта шуд:
Дарҳол маълум шуд, ки ман ҳуқуқҳои асосии ҷараёни кории IIS дорам, ки ба ман имкон намедиҳад, ки ҳеҷ кор кунам. Ин аст он чизе ки дар консоли Metasploit чунин менамуд:
Ҳама методологияҳои пентест ба таври қатъӣ пешниҳод мекунанд, ки шумо бояд ҳангоми дастрасӣ ба дастрасӣ ҳуқуқҳоро зиёд кунед. Ман одатан ин корро ба таври маҳаллӣ намекунам, зеро дастрасии аввалин танҳо ҳамчун нуқтаи вуруди шабака дида мешавад ва вайрон кардани мошини дигар дар ҳамон шабака одатан нисбат ба афзоиши имтиёзҳо дар ҳости мавҷуда осонтар ва тезтар аст. Аммо ин тавр нест, зеро канали DNS хеле танг аст ва он имкон намедиҳад, ки трафик тоза шавад.
Фарз мекунем, ки ин сервери Windows 2003 барои осебпазирии машҳури MS17-010 таъмир нашудааст, ман трафикро ба порти 445/TCP тавассути туннели meterpreter DNS дар localhost нақб мекунам (бале, ин низ имконпазир аст) ва кӯшиш мекунам, ки exe-и қаблан зеркашидашударо тавассути осебпазирӣ. Ҳамла кор мекунад, ман пайвасти дуюмро мегирам, аммо бо ҳуқуқҳои СИСТЕМА.
Ҷолиб он аст, ки онҳо то ҳол кӯшиш мекарданд серверро аз MS17-010 муҳофизат кунанд - он хидматҳои осебпазири шабакаро дар интерфейси беруна ғайрифаъол карда буданд. Ин аз ҳамлаҳо тавассути шабака муҳофизат мекунад, аммо ҳамла аз дохил ба localhost кор кард, зеро шумо наметавонед SMB-ро дар localhost зуд хомӯш кунед.
Баъдан, тафсилоти нави ҷолиб ошкор карда мешаванд:
- Бо доштани ҳуқуқҳои СИСТЕМА, шумо метавонед ба осонӣ тавассути TCP пайвастшавӣ барқарор кунед. Аён аст, ки хомӯш кардани TCP мустақим барои корбари маҳдуди IIS мушкил аст. Спойлер: трафики корбарони IIS ба ҳар ду самт дар прокси маҳаллии ISA печонида шудааст. Он чӣ гуна кор мекунад, ман такрор накардаам.
- Ман дар як "DMZ" ҳастам (ва ин домени Active Directory нест, балки як гурӯҳи WORKGUP аст) - ин мантиқист. Аммо ба ҷои суроғаи IP-и хусусии ("хокистарӣ") интизоршуда, ман суроғаи IP-и комилан "сафед" дорам, маҳз ҳамон тавре ки қаблан ҳамла карда будам. Ин маънои онро дорад, ки ширкат дар ҷаҳони суроғаи IPv4 он қадар кӯҳна аст, ки он метавонад мувофиқи схема, тавре ки дар дастурҳои Cisco аз соли 128 тасвир шудааст, минтақаи DMZ-ро барои 2005 суроғаи "сафед" бидуни NAT нигоҳ дорад.
Азбаски сервер кӯҳна аст, Mimikatz кафолат дода мешавад, ки бевосита аз хотира кор кунад:
Ман пароли маъмури маҳаллиро мегирам, трафики RDP тавассути TCP нақбро мегирам ва ба мизи кории бароҳат ворид мешавам. Азбаски ман метавонистам бо сервер ҳар коре, ки мехостам, иҷро кунам, ман антивирусро хориҷ кардам ва фаҳмидам, ки сервер аз Интернет танҳо тавассути портҳои TCP 80 ва 443 дастрас аст ва 443 банд нест. Ман сервери OpenVPN-ро дар 443 насб кардам, барои трафики VPN-и худ функсияҳои NAT илова мекунам ва тавассути OpenVPN-и худ ба шабакаи DMZ дар шакли номаҳдуд дастрасии мустақим пайдо мекунам. Ҷолиби диққат аст, ки ISA дорои баъзе функсияҳои IPS-и ғайрифаъол, трафики маро бо сканкунии порт масдуд кард, ки барои он бояд бо RRAS соддатар ва мувофиқтар иваз карда шавад. Ҳамин тавр, пентестерҳо баъзан маҷбур мешаванд, ки ҳама гуна чизҳоро идора кунанд.
Хонандаи бодиққат мепурсад: "Дар бораи сайти дуюм - вики бо аутентификатсияи NTLM, ки дар бораи он бисёр навишта шудааст?" Муфассалтар дар ин бора баъдтар.
Қисми 2. Ҳанӯз рамзгузорӣ намекунад? Пас мо аллакай дар ин ҷо ба назди шумо меоем
Ҳамин тавр, дастрасӣ ба сегменти шабакаи DMZ мавҷуд аст. Шумо бояд ба мудири домен равед. Аввалин чизе, ки ба хотир меояд, ин ба таври худкор тафтиш кардани амнияти хидматҳо дар сегменти DMZ мебошад, алахусус азбаски бисёре аз онҳо ҳоло барои таҳқиқот бозанд. Тасвири маъмулӣ ҳангоми санҷиши воридшавӣ: периметри беруна нисбат ба хидматҳои дохилӣ беҳтар муҳофизат карда мешавад ва ҳангоми ба даст овардани ҳама гуна дастрасӣ ба дохили инфрасохтори калон, ба даст овардани ҳуқуқҳои васеъ дар домен танҳо аз сабаби он, ки ин домен ба кор шурӯъ мекунад, хеле осонтар аст. ба асбобҳо дастрас аст ва дуюм, дар инфрасохторе, ки дорои якчанд ҳазор мизбон аст, ҳамеша як ҷуфт мушкилоти муҳим вуҷуд дорад.
Ман сканерҳоро тавассути DMZ тавассути нақби OpenVPN пур мекунам ва интизор мешавам. Ман гузоришро мекушоям - боз ҳеҷ чизи ҷиддӣ нагузаштааст, аз афташ касе аз ҳамон усул пеш аз ман гузаштааст. Қадами навбатӣ тафтиш кардани он аст, ки ҳостҳо дар дохили шабакаи DMZ чӣ гуна муошират мекунанд. Барои ин, аввал Wireshark-и муқаррариро оғоз кунед ва дархостҳои пахш, пеш аз ҳама ARP -ро гӯш кунед. Бастаҳои ARP тамоми рӯз ҷамъ карда шуданд. Маълум мешавад, ки дар ин сегмент якчанд шлюз истифода мешавад. Ин баъдтар муфид хоҳад буд. Бо муттаҳид кардани маълумот дар бораи дархостҳо ва посухҳои ARP ва маълумоти сканкунии порт, ман ба ғайр аз он хидматҳое, ки қаблан маълум буданд, ба монанди веб ва почта, нуқтаҳои баромади трафики корбаронро аз дохили шабакаи маҳаллӣ пайдо кардам.
Азбаски дар айни замон ман ба системаҳои дигар дастрасӣ надоштам ва ҳисоби ягона барои хидматҳои корпоративӣ надоштам, қарор дода шуд, ки ҳадди аққал як ҳисобро аз трафик бо истифода аз ARP Spoofing хориҷ кунам.
Cain&Abel дар сервери уролог оғоз карда шуд. Бо дарназардошти ҷараёнҳои трафики муайяншуда, ҷуфтҳои умедбахш барои ҳамлаи одам дар миёна интихоб карда шуданд ва сипас як қисми трафики шабакавӣ тавассути оғози кӯтоҳмуддати 5-10 дақиқа бо таймер барои аз нав оғоз кардани сервер қабул карда шуд. дар сурати ях кардан. Чун дар шӯхӣ ду хабар омад:
- Хуб: бисёр эътимодномаҳо дастгир карда шуданд ва ҳамла дар маҷмӯъ кор кард.
- Бад: ҳама эътимодномаҳо аз муштариёни худи муштарӣ буданд. Ҳангоми пешниҳоди хидматҳои дастгирӣ, мутахассисони муштариён ба хидматҳои муштариёне, ки на ҳамеша рамзгузории трафикро танзим мекарданд, пайваст мешаванд.
Дар натиҷа, ман эътимодномаҳои зиёде ба даст овардам, ки дар заминаи лоиҳа бефоида буданд, аммо бешубҳа ҳамчун намоиши хатари ҳамла ҷолиб буданд. Роутерҳои сарҳадии ширкатҳои бузург бо telnet, ирсоли дебагҳои http-портҳо ба CRM дохилӣ бо тамоми маълумот, дастрасии мустақим ба RDP аз Windows XP дар шабакаи маҳаллӣ ва дигар нофаҳмиҳо. Чунин баромад .
Ман инчунин як фурсати хандаоварро барои ҷамъоварии мактубҳо аз трафик пайдо кардам, ба ин монанд. Ин як намунаи мактуби тайёрест, ки аз муштарии мо ба порти SMTP муштарии ӯ боз бидуни рамзгузорӣ рафт. Андрей шахсе аз номи худ хоҳиш мекунад, ки ҳуҷҷатҳоро дубора фиристад ва он ба диски абрӣ бо логин, парол ва истинод дар як мактуби ҷавобӣ бор карда мешавад:
Ин боз як ёдрас кардани рамзгузории ҳама хидматҳост. Маълум нест, ки кӣ ва кай маълумоти шуморо махсус хонда ва истифода хоҳад кард - провайдер, маъмури системаи ширкати дигар ё чунин пентестер. Ман дар бораи он, ки бисёр одамон метавонанд танҳо трафики рамзнашударо боздоранд.
Сарфи назар аз му-ваффакиятхои намоён, ин моро ба максад наздик накард. Албатта, имкон дошт, ки муддати тӯлонӣ нишаста, иттилооти арзишмандро моҳигирӣ кард, аммо ин далел нест, ки он дар он ҷо пайдо мешавад ва худи ҳамла аз нигоҳи якпорчагии шабака хеле хатарнок аст.
Пас аз кофтукови дигар дар хидмат, як фикри ҷолиб ба сарам омад. Чунин утилитае бо номи Responder мавҷуд аст (пайдо кардани мисолҳои истифода бо ин ном осон аст), ки бо "заҳролудшавӣ" дархостҳои пахши барномаҳо пайвастҳоро тавассути протоколҳои гуногун ба монанди SMB, HTTP, LDAP ва ғайра ба вуҷуд меорад. бо роҳҳои гуногун, пас аз ҳар касе, ки барои тасдиқи аслӣ пайваст мешавад, мепурсад ва онро тавре танзим мекунад, ки аутентификатсия тавассути NTLM ва дар ҳолати шаффоф барои ҷабрдида сурат гирад. Аксар вақт ҳамлагар дастфишориҳои NetNTLMv2-ро бо ин роҳ ҷамъ мекунад ва аз онҳо бо истифода аз луғат паролҳои домени корбарро зуд барқарор мекунад. Дар ин ҷо ман чизи шабеҳро мехостам, аммо корбарон "дар паси девор" нишастаанд, ё дурусттараш, онҳоро бо девор ҷудо карда буданд ва тавассути кластери прокси Blue Coat ба WEB дастрасӣ пайдо карданд.
Дар хотир доред, ки ман қайд кардам, ки номи домени Active Directory бо домени "берунӣ" мувофиқат мекунад, яъне company.ru? Ҳамин тавр, Windows, дақиқтараш Internet Explorer (ва Edge ва Chrome), ба корбар имкон медиҳад, ки дар HTTP тавассути NTLM шаффоф аутентификатсия кунад, агар онҳо фикр кунанд, ки сайт дар баъзе "Минтақаи интранет" ҷойгир аст. Яке аз аломатҳои «Интранет» дастрасӣ ба суроғаи IP «хокистарӣ» ё номи кӯтоҳи DNS, яъне бе нуқтаҳо мебошад. Азбаски онҳо сервери дорои IP ва DNS-и “сафед” preobrazhensky.company.ru доштанд ва мошинҳои доменӣ одатан суффикси домени Active Directory-ро тавассути DHCP барои вуруди соддашудаи ном мегиранд, онҳо танҳо URL-ро дар сатри суроғаҳо менависанд. , то онҳо роҳи дурустро ба сервери урологи осебдида пайдо кунанд ва фаромӯш накунанд, ки ин ҳоло "Интранет" номида мешавад. Яъне, ҳамзамон ба ман NTLM-дастфишории корбарро бидуни огоҳии ӯ медиҳад. Ҳама чиз боқӣ мемонад, ки браузерҳои муштариро маҷбур созанд, ки дар бораи зарурати фаврии тамос бо ин сервер фикр кунанд.
Хизматрасонии аҷиби Intercepter-NG ба наҷот омад (ташаккур ). Он ба шумо имкон дод, ки трафикро зуд тағир диҳед ва дар Windows 2003 хуб кор кард. Он ҳатто функсияҳои алоҳида барои тағир додани танҳо файлҳои JavaScript дар ҷараёни трафик дошт. Як навъ скрипти азими Cross-Site ба нақша гирифта шуда буд.
Проксиҳои Blue Coat, ки тавассути онҳо корбарон ба WEB глобалӣ дастрасӣ пайдо карданд, мунтазам мундариҷаи статикиро кэш мекарданд. Бо боздоштани трафик маълум буд, ки онҳо шабонарӯзӣ кор карда, беохир талаб мекарданд, ки статикии зуд-зуд истифодашавандаро барои суръат бахшидан ба намоиши мундариҷа дар соатҳои авҷ гиранд. Илова бар ин, BlueCoat як корбар-агенти мушаххас дошт, ки онро аз корбари воқеӣ ба таври возеҳ фарқ мекард.
Javascript омода карда шуд, ки бо истифода аз Intercepter-NG, як соат шабона барои ҳар як посух бо файлҳои JS барои Blue Coat амалӣ карда шуд. Скрипт инҳоро иҷро кард:
- Браузери ҷорӣ аз ҷониби User-Agent муайян карда шуд. Агар он Internet Explorer, Edge ё Chrome бошад, он корашро идома медод.
- Ман интизор будам, ки DOM саҳифа ташкил карда шавад.
- Тасвири ноаёнро ба DOM бо атрибути src форма ворид кард :8080/NNNNNNNN.png, ки дар он NNN рақамҳои худсарона мебошанд, то BlueCoat онро кэш накунад.
- Тағирёбандаи парчами глобалиро таъин кунед, то нишон диҳад, ки тазриқ ба анҷом расидааст ва дигар ба ворид кардани тасвирҳо лозим нест.
Браузер кӯшиш кард, ки ин тасвирро бор кунад; дар порти 8080-и сервери осебдида, нақби TCP онро дар ноутбуки ман интизор буд, ки дар он ҳамон Ҷавобгар кор мекард ва аз браузер талаб мекард, ки тавассути NTLM ворид шавад.
Аз рӯи гузоришҳои Responder, одамон саҳар ба кор омада, истгоҳҳои кории худро фаъол карданд, сипас ба таври оммавӣ ва нодида дидани сервери урологро оғоз карданд ва фаромӯш накарданд, ки дастфишориҳои NTLM-ро "холӣ" кунанд. Дастфишориҳо тамоми рӯз борид ва мавод барои ҳамлаи баръало муваффақ барои барқарор кардани паролҳо ҷамъоварӣ шуд. Журналҳои Responder чунин менамуданд:
Боздидҳои махфии оммавӣ ба сервери уролог аз ҷониби корбарон
Эҳтимол шумо аллакай пай бурдаед, ки тамоми ин ҳикоя аз рӯи принсипи "ҳама чиз хуб буд, аммо баъд як ғамгин буд, пас мағлуб шуд ва ҳама чиз ба муваффақият омад" сохта шудааст. Ҳамин тавр, дар ин ҷо ғамгин буд. Аз панҷоҳ дастфишурии нодир ягонтоаш ошкор нашудааст. Ва ин ба назар гирифта мешавад, ки ҳатто дар ноутбук бо протсессори мурда, ин дастфишори NTLMv2 бо суръати чандсад миллион кӯшиш дар як сония коркард карда мешаванд.
Ман маҷбур будам, ки худро бо усулҳои мутацияи парол, корти видео, луғати ғафс мусаллах кунам ва интизор шавам. Пас аз муддати тӯлонӣ, якчанд ҳисобҳо бо паролҳои шакли "Q11111111....1111111q" ошкор карда шуданд, ки аз он шаҳодат медиҳад, ки ҳама корбарон як вақт маҷбур буданд, ки пароли хеле дароз бо ҳарфҳои гуногунро таҳия кунанд, ки он низ бояд ба мураккаб бошад. Аммо шумо корбари ботаҷрибаро фиреб дода наметавонед ва ҳамин тавр ӯ хотиррасониро барои худ осонтар кард. Дар маҷмӯъ, тақрибан 5 ҳисоб зери хатар қарор гирифт ва танҳо яке аз онҳо ба хидматҳо ҳуқуқҳои арзишманд дошт.
Қисми 3. Роскомнадзор зарбаи ҷавобӣ медиҳад
Ҳамин тавр, аввалин ҳисобҳои доменӣ гирифта шуданд. Агар шумо то ин лаҳза аз хондани тӯлонӣ хоб нарафтед, эҳтимол шумо дар ёд доред, ки ман хидматеро зикр кардам, ки омили дуввуми аутентификатсияро талаб намекунад: он вики бо аутентификатсияи NTLM аст. Албатта, аввалин коре, ки бояд кард, ба он ҷо даромад. Кофтани базаи донишҳои дохилӣ зуд натиҷаҳоро овард:
- Ширкат дорои шабакаи WiFi бо аутентификатсия бо истифода аз ҳисобҳои доменӣ бо дастрасӣ ба шабакаи маҳаллӣ. Бо маҷмӯи мавҷудаи маълумот, ин аллакай як вектори ҳамлаи корӣ аст, аммо шумо бояд бо пойҳои худ ба офис равед ва дар ҷое дар ҳудуди дафтари муштарӣ ҷойгир шавед.
- Ман дастуреро ёфтам, ки тибқи он хидмате мавҷуд буд, ки имкон медиҳад... дастгоҳи аутентификатсияи "омили дуюм" -ро мустақилона сабти ном кунад, агар корбар дар дохили шабакаи маҳаллӣ бошад ва логин ва пароли домени худро дилпурона дар ёд дошта бошад. Дар ин ҳолат, "дарун" ва "берун" аз рӯи дастрасии бандари ин хидмат ба корбар муайян карда шуданд. Порт аз Интернет дастрас набуд, аммо тавассути DMZ хеле дастрас буд.
Албатта, «омили дуюм» фавран ба ҳисоби вайроншуда дар шакли ариза дар телефони ман илова карда шуд. Барномае мавҷуд буд, ки метавонад бо овози баланд дархости push-ро ба телефон бо тугмаҳои "тасдиқ"/"таъқид" барои амал ирсол кунад ё барои вуруди минбаъдаи мустақил рамзи OTP-ро дар экран хомӯшона нишон диҳад. Гузашта аз ин, усули аввал аз рӯи дастурҳо бояд ягона дуруст бошад, аммо он бар хилофи усули OTP кор накард.
Бо шикастани "омили дуюм" ман тавонистам ба почтаи Outlook Web Access ва дастрасии дурдаст дар Citrix Netcaler Gateway дастрасӣ пайдо кунам. Дар паём дар Outlook як сюрприз буд:
Дар ин кадри нодир шумо метавонед бубинед, ки Роскомнадзор ба пентестер чӣ гуна кӯмак мекунад
Ин моҳҳои аввали пас аз баста шудани маъруфи "мухлисӣ"-и Telegram буд, ки тамоми шабакаҳои дорои ҳазорон суроғаҳо аз дастрасӣ бебозгашт нопадид шуданд. Маълум шуд, ки чаро тела дарҳол кор накард ва чаро "ҷабрдида"-и ман бонги изтироб нанамуд, зеро онҳо дар соатҳои кушод истифода аз ҳисоби ӯро оғоз карданд.
Ҳар касе, ки бо Citrix Netscaler ошно аст, тасаввур мекунад, ки он одатан тавре амалӣ карда мешавад, ки танҳо интерфейси тасвириро ба корбар интиқол додан мумкин аст ва кӯшиш мекунад, ки ба ӯ асбобҳоро барои оғоз кардани замимаҳои тарафи сеюм ва интиқоли маълумот надиҳад, амалҳоро бо ҳар роҳ маҳдуд кунад. тавассути снарядҳои назорати стандартӣ. «Қурбонии ман» аз сабаби шуғли худ танҳо 1С гирифт:
Пас аз каме дар атрофи интерфейси 1C, ман фаҳмидам, ки дар он ҷо модулҳои коркарди беруна мавҷуданд. Онҳо метавонанд аз интерфейс бор карда шаванд ва онҳо вобаста ба ҳуқуқҳо ва танзимот дар мизоҷ ё сервер иҷро карда мешаванд.
Ман аз дӯстони барномасози 1С хоҳиш кардам, ки коркардеро созанд, ки сатрро қабул кунад ва онро иҷро кунад. Дар забони 1С, оғоз кардани раванд ба ин монанд аст (аз Интернет гирифта шудааст). Оё шумо розӣ ҳастед, ки синтаксиси забони 1С мардуми русзабонро бо стихиявии худ ба ҳайрат меорад?
Коркард ба таври комил иҷро карда шуд; маълум шуд, ки он чизест, ки пентестерҳо "шелл" меноманд - Internet Explorer тавассути он ба кор андохта шуд.
Қаблан дар почта суроғаи системае пайдо шуда буд, ки ба шумо имкон медиҳад, ки билет ба қаламрав фармоиш диҳед. Ман гузарномаро фармоиш додам, ки агар ман бояд вектори ҳамлаи WiFi-ро истифода барам.
Дар Интернет сӯҳбатҳо вуҷуд доранд, ки дар офиси муштарӣ то ҳол хӯроки ройгони болаззат мавҷуд буд, аммо ман ба ҳар ҳол бартарӣ додам, ки ҳамларо аз фосилаи дур таҳия кунам, он оромтар аст.
AppLocker дар сервери замимавии Citrix фаъол карда шуд, аммо аз он гузашт. Ҳамон Meterpreter тавассути DNS бор ва ба кор андохта шуд, зеро версияҳои http(s) пайваст шудан намехостанд ва ман он вақт суроғаи прокси дохилиро намедонистам. Воқеан, аз ин лаҳза, pentest берунӣ аслан комилан ба як дохилӣ табдил ёфт.
Қисми 4. Ҳуқуқи администратор барои корбарон бад аст, хуб?
Вазифаи аввалини пентестер ҳангоми ба даст овардани назорати сессияи корбари домен ин ҷамъоварии ҳама маълумот дар бораи ҳуқуқҳо дар домен мебошад. Як утилитаи BloodHound мавҷуд аст, ки ба шумо имкон медиҳад ба таври худкор маълумотро дар бораи корбарон, компютерҳо, гурӯҳҳои амниятӣ тавассути протоколи LDAP аз контролери домен зеркашӣ кунед ва тавассути SMB - маълумот дар бораи он, ки кадом корбар ба наздикӣ дар куҷо ворид шудааст ва мудири маҳаллӣ кист.
Усули маъмулии мусодираи ҳуқуқҳои мудири домен ҳамчун як давраи амалҳои якранг соддашуда ба назар мерасад:
- Мо ба компютерҳои доменӣ меравем, ки дар он ҳуқуқҳои маъмури маҳаллӣ дар асоси ҳисобҳои домении аллакай забтшуда мавҷуданд.
- Мо Mimikatz-ро оғоз мекунем ва паролҳои кэшшуда, чиптаҳои Kerberos ва хэшҳои NTLM-и ҳисобҳои домениро, ки ба наздикӣ ба ин система ворид шудаанд, мегирем. Ё мо тасвири хотираи раванди lsass.exe-ро нест мекунем ва дар паҳлӯи худ низ ҳамин тавр мекунем. Ин бо Windows хурдтар аз 2012R2/Windows 8.1 бо танзимоти пешфарз хуб кор мекунад.
- Мо муайян мекунем, ки дар куҷо ҳисобҳои вайроншуда ҳуқуқҳои маъмури маҳаллӣ доранд. Мо нуқтаи аввалро такрор мекунем. Дар баъзе марҳила мо ҳуқуқи администраторро барои тамоми домен ба даст меорем.
"Анҷоми давра;", тавре ки барномасозони 1С дар ин ҷо менависанд.
Ҳамин тавр, корбари мо дар як ҳост бо Windows 7, ки дар номи он калимаи "VDI" ё "Инфраструктураи виртуалӣ", мошинҳои виртуалии инфиродӣ иборат буд, маъмури маҳаллӣ шуд. Эҳтимол, тарроҳи хидмати VDI маънои онро дошт, ки азбаски VDI системаи оператсионии шахсии корбар аст, ҳатто агар корбар муҳити нармафзорро мувофиқи хоҳиши худ тағир диҳад, мизбонро "аз нав бор кардан" мумкин аст. Ман ҳам фикр мекардам, ки дар маҷмӯъ идея хуб аст, ман ба ин мизбони шахсии VDI рафтам ва дар он ҷо лона сохтам:
- Ман дар он ҷо як муштарии OpenVPN насб кардам, ки тавассути Интернет ба сервери ман нақб сохт. Муштариро маҷбур кардан лозим буд, ки аз ҳамон куртаи кабуд бо аутентификатсияи домен гузарад, аммо OpenVPN инро, тавре ки мегӯянд, "аз қуттӣ" анҷом дод.
- OpenSSH дар VDI насб карда шудааст. Хуб, дар ҳақиқат, Windows 7 бе SSH чист?
Ин ҳамон чизест, ки зинда ба назар мерасид. Хотиррасон мекунам, ки ҳамаи ин бояд тавассути Citrix ва 1C анҷом дода шавад:
Яке аз усулҳои пешбурди дастрасӣ ба компютерҳои ҳамсоя ин тафтиш кардани паролҳои маъмури маҳаллӣ барои мувофиқат мебошад. Дар ин ҷо хушбахтӣ дарҳол интизор буд: хэши NTLM-и маъмури пешфарзи маҳаллӣ (ки ногаҳон Администратор номида шуд) тавассути ҳамлаи гузаранда ба ҳостҳои ҳамсояи VDI наздик шуд, ки аз онҳо садҳо нафар буданд. Албатта, хучум фавран ба онхо расид.
Дар ин ҷо маъмурони VDI ду маротиба ба пои худ тир холӣ карданд:
- Бори аввал вақте буд, ки мошинҳои VDI зери LAPS оварда нашуданд ва аслан ҳамон пароли маъмури маҳаллиро аз тасвире, ки ба таври оммавӣ дар VDI ҷойгир карда шуда буд, нигоҳ медошт.
- Администратори пешфарз ягона ҳисоби маҳаллӣ аст, ки ба ҳамлаҳои гузаранда осебпазир аст. Ҳатто бо ҳамон парол, метавон аз созиши оммавиро тавассути эҷоди ҳисоби дуюми маъмури маҳаллӣ бо пароли тасодуфии мураккаб ва бастани пароли пешфарз пешгирӣ кард.
Чаро дар он Windows хидмати SSH вуҷуд дорад? Хеле оддӣ: ҳоло сервери OpenSSH на танҳо як қабати қулайи фармонҳои интерактивиро бидуни дахолат ба кори корбар таъмин кард, балки инчунин прокси socks5 дар VDI. Тавассути ин ҷӯробҳо, ман тавассути SMB пайваст шудам ва аз ҳамаи ин садҳо мошинҳои VDI ҳисобҳои кэшро ҷамъ овардам ва сипас роҳ ба мудири доменро бо истифода аз онҳо дар графикҳои BloodHound ҷустуҷӯ кардам. Бо садҳо мизбон дар ихтиёри ман, ман ин роҳро хеле зуд ёфтам. Ҳуқуқҳои администратори домен ба даст оварда шуданд.
Дар ин ҷо як акс аз Интернет аст, ки ҷустуҷӯи шабеҳро нишон медиҳад. Пайвастшавӣ нишон медиҳад, ки администратор кӣ аст ва кӣ дар куҷо ворид шудааст.
Дар омади гап, шартро аз оғози лоиҳа дар хотир доред - "муҳандисии иҷтимоиро истифода набаред". Ҳамин тавр, ман пешниҳод мекунам, ки дар бораи он фикр кунам, ки чӣ қадар ин Болливуд бо эффектҳои махсус, агар истифодаи фишинги баналӣ имконпазир бошад. Аммо шахсан барои ман анҷом додани ҳамаи ин хеле ҷолиб буд. Умедворам, ки шумо аз ин хондан лаззат бурдед. Албатта, на хар як лоиха ин кадар чолиби диккат ба назар мера-сад, аммо умуман кор хеле душвор аст ва ба рукуди он рох намедихад.
Шояд касе саволе пайдо кунад: чӣ гуна худро муҳофизат кардан мумкин аст? Ҳатто ин мақола усулҳои зиёдеро тавсиф мекунад, ки бисёре аз онҳоро маъмурони Windows ҳатто намедонанд. Бо вуҷуди ин, ман пешниҳод мекунам, ки ба онҳо аз нуқтаи назари принсипҳо ва чораҳои амнияти иттилоотӣ назар кунем:
- нармафзори кӯҳнаро истифода набаред (дар аввал Windows 2003-ро дар хотир доред?)
- системаҳои нолозимро фаъол накунед (чаро вебсайти уролог вуҷуд дошт?)
- гузарвожаҳои корбарро барои қувват худатон тафтиш кунед (дар акси ҳол, сарбозон ... ин корро мекунанд)
- барои ҳисобҳои гуногун паролҳои якхела надоранд (созишномаи VDI)
- ва дигар
Албатта, ба амал баровардани ин хеле душвор аст, вале дар маколаи оянда мо дар амал нишон медихем, ки ин комилан имконпазир аст.
Манбаъ: will.com