Ҳамин тавр, мо ду сайтеро ёфтем, ки аз садҳо хидматҳо фарқ мекарданд. Ин сайтҳо як чизи умумӣ доштанд: агар шумо ба разведкаи дақиқи шабака аз рӯи домен машғул нашавед, аммо ба бандарҳои кушода назар кунед ё сканери осебпазириро бо истифода аз диапазони маълуми IP ҳадаф гиред, он гоҳ ин сайтҳо аз сканкунӣ гурехта мешаванд ва танҳо нахоҳанд буд. бе донистани номи DNS намоён аст. Эҳтимол, онҳо ҳадди аққал пештар пазмон шуда буданд ва асбобҳои автоматии мо бо онҳо ҳеҷ гуна мушкилот пайдо накарданд, ҳатто агар онҳо мустақиман ба манбаъ фиристода шаванд.
Воқеан, дар бораи он чизе ки сканерҳои қаблан ба кор андохташуда дар маҷмӯъ пайдо шуданд. Ба шумо хотиррасон мекунам: барои баъзе одамон "пентест" ба "сканкунии автоматӣ" баробар аст. Аммо сканерҳо дар ин лоиҳа чизе нагуфтанд. Хуб, ҳадди аксар аз ҷониби осебпазирии миёна (3 аз 5 аз рӯи шиддат) нишон дода шудааст: дар баъзе хидматҳо шаҳодатномаи бади TLS ё алгоритмҳои рамзгузории кӯҳна ва дар аксари сайтҳо Clickjacking. Аммо ин шуморо ба ҳадафатон намерасонад. Шояд сканерҳо дар ин ҷо муфидтар бошанд, аммо ман ба шумо хотиррасон мекунам: худи муштарӣ метавонад чунин барномаҳоро харад ва худро бо онҳо санҷад ва аз рӯи натиҷаҳои ногувор, ӯ аллакай тафтиш кардааст.
Биёед ба сайтҳои "ғайриоддӣ" баргардем. Аввалин чизе монанди Викии маҳаллӣ дар суроғаи ғайристандартӣ аст, аммо дар ин мақола бигзор он wiki.company[.]ru бошад. Вай инчунин фавран логин ва паролро дархост кард, аммо тавассути NTLM дар браузер. Барои корбар, ин як равзанаи аскетӣ ба назар мерасад, ки дархости ворид кардани номи корбар ва паролро талаб мекунад. Ва ин таҷрибаи бад аст.
Як ёддошт хурд. NTLM дар вебсайтҳои периметрӣ бо як қатор сабабҳо бад аст. Сабаби аввал ин аст, ки номи домени Active Directory ошкор мешавад. Дар мисоли мо, он низ ба монанди номи DNS "берунӣ" company.ru шуд. Бо донистани ин, шумо метавонед як чизи зарароварро бодиққат омода кунед, то он танҳо дар мошини домени созмон иҷро карда шавад, на дар баъзе қуттиҳо. Сониян, аутентификатсия мустақиман тавассути контролери домен тавассути NTLM (ҳайратовар, дуруст?), бо тамоми хусусиятҳои сиёсати шабакавии "дохилӣ", аз ҷумла бастани ҳисобҳо аз зиёд шудани шумораи кӯшишҳои воридшавии парол мегузарад. Агар ҳамлакунанда логинҳоро фаҳмад, вай паролҳоро барои онҳо месанҷад. Агар шумо барои бастани ҳисобҳо аз ворид кардани паролҳои нодуруст танзим карда шуда бошед, он кор мекунад ва ҳисоб баста мешавад. Сеюм, ба ин гуна аутентификатсия омили дуюмро илова кардан ғайриимкон аст. Агар касе аз хонандагон то ҳол медонад, ки чӣ тавр, лутфан ба ман хабар диҳед, ин воқеан ҷолиб аст. Чорум, осебпазирӣ ба ҳамлаҳои гузаранда. ADFS, аз ҷумла, барои муҳофизат аз ин ҳама ихтироъ шудааст.
Як хусусияти бади маҳсулоти Microsoft вуҷуд дорад: ҳатто агар шумо ин гуна NTLM-ро махсусан нашр накарда бошед ҳам, он ҳадди аққал дар OWA ва Lync ба таври нобаёнӣ насб карда мешавад.
Зимнан, муаллифи ин матлаб ҳамагӣ дар як соат бо ҳамин усул тасодуфан тақрибан 1000 суратҳисоби кормандони як бонки бузургро масдуд карда, сипас то андозае рангпарида намуд. Хидматҳои IT-и бонк низ рангоранг буданд, аммо ҳама чиз хуб ва ба таври мувофиқ анҷом ёфт, моро ҳатто таъриф карданд, ки аввалин шуда ин мушкилотро пайдо кардем ва ҳалли зуд ва қатъиро ба вуҷуд овардем.
Дар сайти дуюм суроғаи "аз афташ як навъ soyad.company.ru" буд. Онро тавассути Google пайдо кардам, чизе монанди ин дар саҳифаи 10. Тарҳ аз аввали солҳои XNUMX-ум буд ва як шахси мӯҳтарам ба он аз саҳифаи асосӣ менигарист, чизе монанди ин:
Дар ин ҷо ман кадре аз «Дили саг»-ро гирифтам, аммо бовар кунед, ки он ба таври норавшан шабоҳат дошт, ҳатто тарҳи ранг бо оҳангҳои шабеҳ буд. Бигзор сайт даъват карда шавад preobrazhensky.company.ru.
Ин як вебсайти шахсӣ буд... барои уролог. Ман ҳайрон будам, ки вебсайти уролог дар зердомени як ширкати баландтехнологӣ чӣ кор мекунад. Ҷустуҷӯи зуд дар Google нишон дод, ки ин табиб муассиси яке аз шахсони ҳуқуқии муштарии мост ва ҳатто дар сармояи оинномавӣ тақрибан 1000 рубл саҳм гузоштааст. Эҳтимол сайт чандин сол пеш сохта шуда бошад ва захираҳои сервери муштарӣ ҳамчун хостинг истифода мешуданд. Сайт кайҳо аҳамияти худро гум кардааст, аммо бо баъзе сабабҳо он муддати тӯлонӣ кор мекард.
Ман сканерҳоро тавассути DMZ тавассути нақби OpenVPN пур мекунам ва интизор мешавам. Ман гузоришро мекушоям - боз ҳеҷ чизи ҷиддӣ нагузаштааст, аз афташ касе аз ҳамон усул пеш аз ман гузаштааст. Қадами навбатӣ тафтиш кардани он аст, ки ҳостҳо дар дохили шабакаи DMZ чӣ гуна муошират мекунанд. Барои ин, аввал Wireshark-и муқаррариро оғоз кунед ва дархостҳои пахш, пеш аз ҳама ARP -ро гӯш кунед. Бастаҳои ARP тамоми рӯз ҷамъ карда шуданд. Маълум мешавад, ки дар ин сегмент якчанд шлюз истифода мешавад. Ин баъдтар муфид хоҳад буд. Бо муттаҳид кардани маълумот дар бораи дархостҳо ва посухҳои ARP ва маълумоти сканкунии порт, ман ба ғайр аз он хидматҳое, ки қаблан маълум буданд, ба монанди веб ва почта, нуқтаҳои баромади трафики корбаронро аз дохили шабакаи маҳаллӣ пайдо кардам.
Азбаски дар айни замон ман ба системаҳои дигар дастрасӣ надоштам ва ҳисоби ягона барои хидматҳои корпоративӣ надоштам, қарор дода шуд, ки ҳадди аққал як ҳисобро аз трафик бо истифода аз ARP Spoofing хориҷ кунам.
Cain&Abel дар сервери уролог оғоз карда шуд. Бо дарназардошти ҷараёнҳои трафики муайяншуда, ҷуфтҳои умедбахш барои ҳамлаи одам дар миёна интихоб карда шуданд ва сипас як қисми трафики шабакавӣ тавассути оғози кӯтоҳмуддати 5-10 дақиқа бо таймер барои аз нав оғоз кардани сервер қабул карда шуд. дар сурати ях кардан. Чун дар шӯхӣ ду хабар омад:
Дар натиҷа, ман эътимодномаҳои зиёде ба даст овардам, ки дар заминаи лоиҳа бефоида буданд, аммо бешубҳа ҳамчун намоиши хатари ҳамла ҷолиб буданд. Роутерҳои сарҳадии ширкатҳои бузург бо telnet, ирсоли дебагҳои http-портҳо ба CRM дохилӣ бо тамоми маълумот, дастрасии мустақим ба RDP аз Windows XP дар шабакаи маҳаллӣ ва дигар нофаҳмиҳо. Чунин баромад Мутобиқати занҷираи таъминот мувофиқи матритсаи MITER.
Ман инчунин як фурсати хандаоварро барои ҷамъоварии мактубҳо аз трафик пайдо кардам, ба ин монанд. Ин як намунаи мактуби тайёрест, ки аз муштарии мо ба порти SMTP муштарии ӯ боз бидуни рамзгузорӣ рафт. Андрей шахсе аз номи худ хоҳиш мекунад, ки ҳуҷҷатҳоро дубора фиристад ва он ба диски абрӣ бо логин, парол ва истинод дар як мактуби ҷавобӣ бор карда мешавад:
Ин боз як ёдрас кардани рамзгузории ҳама хидматҳост. Маълум нест, ки кӣ ва кай маълумоти шуморо махсус хонда ва истифода хоҳад кард - провайдер, маъмури системаи ширкати дигар ё чунин пентестер. Ман дар бораи он, ки бисёр одамон метавонанд танҳо трафики рамзнашударо боздоранд.
Сарфи назар аз му-ваффакиятхои намоён, ин моро ба максад наздик накард. Албатта, имкон дошт, ки муддати тӯлонӣ нишаста, иттилооти арзишмандро моҳигирӣ кард, аммо ин далел нест, ки он дар он ҷо пайдо мешавад ва худи ҳамла аз нигоҳи якпорчагии шабака хеле хатарнок аст.
Пас аз кофтукови дигар дар хидмат, як фикри ҷолиб ба сарам омад. Чунин утилитае бо номи Responder мавҷуд аст (пайдо кардани мисолҳои истифода бо ин ном осон аст), ки бо "заҳролудшавӣ" дархостҳои пахши барномаҳо пайвастҳоро тавассути протоколҳои гуногун ба монанди SMB, HTTP, LDAP ва ғайра ба вуҷуд меорад. бо роҳҳои гуногун, пас аз ҳар касе, ки барои тасдиқи аслӣ пайваст мешавад, мепурсад ва онро тавре танзим мекунад, ки аутентификатсия тавассути NTLM ва дар ҳолати шаффоф барои ҷабрдида сурат гирад. Аксар вақт ҳамлагар дастфишориҳои NetNTLMv2-ро бо ин роҳ ҷамъ мекунад ва аз онҳо бо истифода аз луғат паролҳои домени корбарро зуд барқарор мекунад. Дар ин ҷо ман чизи шабеҳро мехостам, аммо корбарон "дар паси девор" нишастаанд, ё дурусттараш, онҳоро бо девор ҷудо карда буданд ва тавассути кластери прокси Blue Coat ба WEB дастрасӣ пайдо карданд.
Дар хотир доред, ки ман қайд кардам, ки номи домени Active Directory бо домени "берунӣ" мувофиқат мекунад, яъне company.ru? Ҳамин тавр, Windows, дақиқтараш Internet Explorer (ва Edge ва Chrome), ба корбар имкон медиҳад, ки дар HTTP тавассути NTLM шаффоф аутентификатсия кунад, агар онҳо фикр кунанд, ки сайт дар баъзе "Минтақаи интранет" ҷойгир аст. Яке аз аломатҳои «Интранет» дастрасӣ ба суроғаи IP «хокистарӣ» ё номи кӯтоҳи DNS, яъне бе нуқтаҳо мебошад. Азбаски онҳо сервери дорои IP ва DNS-и “сафед” preobrazhensky.company.ru доштанд ва мошинҳои доменӣ одатан суффикси домени Active Directory-ро тавассути DHCP барои вуруди соддашудаи ном мегиранд, онҳо танҳо URL-ро дар сатри суроғаҳо менависанд. преображенский, то онҳо роҳи дурустро ба сервери урологи осебдида пайдо кунанд ва фаромӯш накунанд, ки ин ҳоло "Интранет" номида мешавад. Яъне, ҳамзамон ба ман NTLM-дастфишории корбарро бидуни огоҳии ӯ медиҳад. Ҳама чиз боқӣ мемонад, ки браузерҳои муштариро маҷбур созанд, ки дар бораи зарурати фаврии тамос бо ин сервер фикр кунанд.
Хизматрасонии аҷиби Intercepter-NG ба наҷот омад (ташаккур Интерсептор). Он ба шумо имкон дод, ки трафикро зуд тағир диҳед ва дар Windows 2003 хуб кор кард. Он ҳатто функсияҳои алоҳида барои тағир додани танҳо файлҳои JavaScript дар ҷараёни трафик дошт. Як навъ скрипти азими Cross-Site ба нақша гирифта шуда буд.
Проксиҳои Blue Coat, ки тавассути онҳо корбарон ба WEB глобалӣ дастрасӣ пайдо карданд, мунтазам мундариҷаи статикиро кэш мекарданд. Бо боздоштани трафик маълум буд, ки онҳо шабонарӯзӣ кор карда, беохир талаб мекарданд, ки статикии зуд-зуд истифодашавандаро барои суръат бахшидан ба намоиши мундариҷа дар соатҳои авҷ гиранд. Илова бар ин, BlueCoat як корбар-агенти мушаххас дошт, ки онро аз корбари воқеӣ ба таври возеҳ фарқ мекард.
Javascript омода карда шуд, ки бо истифода аз Intercepter-NG, як соат шабона барои ҳар як посух бо файлҳои JS барои Blue Coat амалӣ карда шуд. Скрипт инҳоро иҷро кард:
Браузери ҷорӣ аз ҷониби User-Agent муайян карда шуд. Агар он Internet Explorer, Edge ё Chrome бошад, он корашро идома медод.
Ман интизор будам, ки DOM саҳифа ташкил карда шавад.
Тасвири ноаёнро ба DOM бо атрибути src форма ворид кард преображенский:8080/NNNNNNNN.png, ки дар он NNN рақамҳои худсарона мебошанд, то BlueCoat онро кэш накунад.
Боздидҳои махфии оммавӣ ба сервери уролог аз ҷониби корбарон
Эҳтимол шумо аллакай пай бурдаед, ки тамоми ин ҳикоя аз рӯи принсипи "ҳама чиз хуб буд, аммо баъд як ғамгин буд, пас мағлуб шуд ва ҳама чиз ба муваффақият омад" сохта шудааст. Ҳамин тавр, дар ин ҷо ғамгин буд. Аз панҷоҳ дастфишурии нодир ягонтоаш ошкор нашудааст. Ва ин ба назар гирифта мешавад, ки ҳатто дар ноутбук бо протсессори мурда, ин дастфишори NTLMv2 бо суръати чандсад миллион кӯшиш дар як сония коркард карда мешаванд.
Ман маҷбур будам, ки худро бо усулҳои мутацияи парол, корти видео, луғати ғафс мусаллах кунам ва интизор шавам. Пас аз муддати тӯлонӣ, якчанд ҳисобҳо бо паролҳои шакли "Q11111111....1111111q" ошкор карда шуданд, ки аз он шаҳодат медиҳад, ки ҳама корбарон як вақт маҷбур буданд, ки пароли хеле дароз бо ҳарфҳои гуногунро таҳия кунанд, ки он низ бояд ба мураккаб бошад. Аммо шумо корбари ботаҷрибаро фиреб дода наметавонед ва ҳамин тавр ӯ хотиррасониро барои худ осонтар кард. Дар маҷмӯъ, тақрибан 5 ҳисоб зери хатар қарор гирифт ва танҳо яке аз онҳо ба хидматҳо ҳуқуқҳои арзишманд дошт.
Қисми 3. Роскомнадзор зарбаи ҷавобӣ медиҳад
Ҳамин тавр, аввалин ҳисобҳои доменӣ гирифта шуданд. Агар шумо то ин лаҳза аз хондани тӯлонӣ хоб нарафтед, эҳтимол шумо дар ёд доред, ки ман хидматеро зикр кардам, ки омили дуввуми аутентификатсияро талаб намекунад: он вики бо аутентификатсияи NTLM аст. Албатта, аввалин коре, ки бояд кард, ба он ҷо даромад. Кофтани базаи донишҳои дохилӣ зуд натиҷаҳоро овард:
Ширкат дорои шабакаи WiFi бо аутентификатсия бо истифода аз ҳисобҳои доменӣ бо дастрасӣ ба шабакаи маҳаллӣ. Бо маҷмӯи мавҷудаи маълумот, ин аллакай як вектори ҳамлаи корӣ аст, аммо шумо бояд бо пойҳои худ ба офис равед ва дар ҷое дар ҳудуди дафтари муштарӣ ҷойгир шавед.
Ман дастуреро ёфтам, ки тибқи он хидмате мавҷуд буд, ки имкон медиҳад... дастгоҳи аутентификатсияи "омили дуюм" -ро мустақилона сабти ном кунад, агар корбар дар дохили шабакаи маҳаллӣ бошад ва логин ва пароли домени худро дилпурона дар ёд дошта бошад. Дар ин ҳолат, "дарун" ва "берун" аз рӯи дастрасии бандари ин хидмат ба корбар муайян карда шуданд. Порт аз Интернет дастрас набуд, аммо тавассути DMZ хеле дастрас буд.
Албатта, «омили дуюм» фавран ба ҳисоби вайроншуда дар шакли ариза дар телефони ман илова карда шуд. Барномае мавҷуд буд, ки метавонад бо овози баланд дархости push-ро ба телефон бо тугмаҳои "тасдиқ"/"таъқид" барои амал ирсол кунад ё барои вуруди минбаъдаи мустақил рамзи OTP-ро дар экран хомӯшона нишон диҳад. Гузашта аз ин, усули аввал аз рӯи дастурҳо бояд ягона дуруст бошад, аммо он бар хилофи усули OTP кор накард.
Бо шикастани "омили дуюм" ман тавонистам ба почтаи Outlook Web Access ва дастрасии дурдаст дар Citrix Netcaler Gateway дастрасӣ пайдо кунам. Дар паём дар Outlook як сюрприз буд:
Дар Интернет сӯҳбатҳо вуҷуд доранд, ки дар офиси муштарӣ то ҳол хӯроки ройгони болаззат мавҷуд буд, аммо ман ба ҳар ҳол бартарӣ додам, ки ҳамларо аз фосилаи дур таҳия кунам, он оромтар аст.
AppLocker дар сервери замимавии Citrix фаъол карда шуд, аммо аз он гузашт. Ҳамон Meterpreter тавассути DNS бор ва ба кор андохта шуд, зеро версияҳои http(s) пайваст шудан намехостанд ва ман он вақт суроғаи прокси дохилиро намедонистам. Воқеан, аз ин лаҳза, pentest берунӣ аслан комилан ба як дохилӣ табдил ёфт.
Қисми 4. Ҳуқуқи администратор барои корбарон бад аст, хуб?