ไดอารี่ของ Tom Hunter: "สุนัขล่าเนื้อแห่ง Baskervilles"

การล่าช้าในการลงนามเป็นเรื่องปกติสำหรับบริษัทขนาดใหญ่ ข้อตกลงระหว่าง Tom Hunter และร้านขายสัตว์เลี้ยงในเครือแห่งหนึ่งสำหรับการทดสอบอย่างละเอียดก็ไม่มีข้อยกเว้น เราต้องตรวจสอบเว็บไซต์ เครือข่ายภายใน และแม้แต่ Wi-Fi ที่ใช้งานได้

ไม่น่าแปลกใจเลยที่มือของฉันรู้สึกคันก่อนที่พิธีการทั้งหมดจะเสร็จสิ้น แค่สแกนไซต์เผื่อไว้ ไม่น่าเป็นไปได้ที่ร้านค้าชื่อดังอย่าง "The Hound of the Baskervilles" จะทำผิดพลาดที่นี่ สองสามวันต่อมา ในที่สุด Tom ก็ส่งมอบสัญญาต้นฉบับที่ลงนามแล้ว - ในเวลานี้ เหนือแก้วกาแฟแก้วที่สาม Tom จาก CMS ภายในประเมินสภาพของคลังสินค้าด้วยความสนใจ...

ที่มา: เอซาน แทบลู

แต่ไม่สามารถจัดการได้มากนักใน CMS - ผู้ดูแลไซต์สั่งห้าม IP ของ Tom Hunter แม้ว่าจะเป็นไปได้ที่จะมีเวลาสร้างโบนัสบนบัตรร้านค้าและให้อาหารแมวที่คุณรักในราคาถูกเป็นเวลาหลายเดือน... “ไม่ใช่ครั้งนี้ ดาร์ธ ซิเดียส” ทอมคิดพร้อมยิ้ม การเปลี่ยนจากพื้นที่เว็บไซต์ไปยังเครือข่ายท้องถิ่นของลูกค้าจะน่าสนใจไม่น้อย แต่เห็นได้ชัดว่ากลุ่มเหล่านี้ไม่ได้เชื่อมต่อกับลูกค้า แต่สิ่งนี้เกิดขึ้นบ่อยกว่าในบริษัทขนาดใหญ่มาก

หลังจากผ่านพิธีการทั้งหมดแล้ว Tom Hunter ก็ติดอาวุธให้ตัวเองด้วยบัญชี VPN ที่ให้มาและไปที่เครือข่ายท้องถิ่นของลูกค้า บัญชีนี้อยู่ภายในโดเมน Active Directory ดังนั้นจึงเป็นไปได้ที่จะทิ้ง AD โดยไม่มีเทคนิคพิเศษใดๆ ซึ่งจะทำให้ข้อมูลที่เปิดเผยต่อสาธารณะทั้งหมดเกี่ยวกับผู้ใช้และเครื่องทำงาน

Tom เปิดตัวยูทิลิตี้ adfind และเริ่มส่งคำขอ LDAP ไปยังตัวควบคุมโดเมน ด้วยตัวกรองในคลาส objectСategory ระบุบุคคลเป็นแอตทริบิวต์ การตอบสนองกลับมาพร้อมกับโครงสร้างต่อไปนี้:

dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0Z

นอกจากนี้ ยังมีข้อมูลที่เป็นประโยชน์อีกมากมาย แต่สิ่งที่น่าสนใจที่สุดคือในช่อง >คำอธิบาย: >คำอธิบาย นี่คือความคิดเห็นในบัญชี - โดยพื้นฐานแล้วเป็นสถานที่ที่สะดวกสำหรับการเก็บบันทึกเล็กๆ น้อยๆ แต่ผู้ดูแลระบบของลูกค้าตัดสินใจว่ารหัสผ่านสามารถนั่งเงียบ ๆ ได้เช่นกัน ใครบ้างที่อาจสนใจบันทึกอย่างเป็นทางการที่ไม่มีนัยสำคัญเหล่านี้? ดังนั้นความคิดเห็นที่ทอมได้รับคือ:

Создал Администратор, 2018.11.16 7po!*Vqn

คุณไม่จำเป็นต้องเป็นนักวิทยาศาสตร์ด้านจรวดเพื่อที่จะเข้าใจว่าทำไมการรวมกันในตอนท้ายจึงมีประโยชน์ สิ่งที่เหลืออยู่คือการแยกวิเคราะห์ไฟล์ตอบกลับขนาดใหญ่จากซีดีโดยใช้ฟิลด์ >คำอธิบาย: และนี่คือ - คู่รหัสผ่านเข้าสู่ระบบ 20 คู่ ยิ่งไปกว่านั้น เกือบครึ่งหนึ่งมีสิทธิ์การเข้าถึง RDP หัวสะพานไม่เลว ถึงเวลาแบ่งกำลังโจมตี

เครือข่าย

ลูกบอล Hounds of the Baskerville ที่เข้าถึงได้นั้นชวนให้นึกถึงเมืองใหญ่ท่ามกลางความสับสนวุ่นวายและคาดเดาไม่ได้ ด้วยโปรไฟล์ผู้ใช้และโปรไฟล์ RDP Tom Hunter กลายเป็นเด็กยากจนในเมืองนี้ แต่ถึงแม้เขายังสามารถมองเห็นสิ่งต่างๆ มากมายผ่านหน้าต่างนโยบายความปลอดภัยอันแวววาว

บางส่วนของไฟล์เซิร์ฟเวอร์ บัญชีการบัญชี และแม้แต่สคริปต์ที่เกี่ยวข้องกับสิ่งเหล่านี้ล้วนถูกเปิดเผยสู่สาธารณะ ในการตั้งค่าของสคริปต์ตัวใดตัวหนึ่ง Tom พบแฮช MS SQL ของผู้ใช้รายหนึ่ง เวทย์มนตร์กำลังดุร้ายเล็กน้อย - และแฮชของผู้ใช้ก็กลายเป็นรหัสผ่านข้อความธรรมดา ขอขอบคุณ John The Ripper และ Hashcat

คีย์นี้น่าจะพอดีกับหน้าอกบ้าง พบหีบและยิ่งกว่านั้นยังมี "หีบ" อีกสิบอันที่เกี่ยวข้องกับมัน และภายในหกชั้น... สิทธิ์ superuser, ระบบอำนาจ nt! ในสองรายการนั้นเราสามารถเรียกใช้กระบวนงาน xp_cmdshell ที่เก็บไว้และส่งคำสั่ง cmd ไปยัง Windows คุณต้องการอะไรอีก?

ตัวควบคุมโดเมน

Tom Hunter เตรียมการโจมตีครั้งที่สองสำหรับตัวควบคุมโดเมน มีสามคนในเครือข่าย "Dogs of the Baskervilles" ตามจำนวนเซิร์ฟเวอร์ระยะไกลทางภูมิศาสตร์ ตัวควบคุมโดเมนแต่ละตัวมีโฟลเดอร์สาธารณะ เช่น กล่องแสดงผลแบบเปิดในร้านค้า ใกล้กับที่เด็กยากจนคนเดิมที่ทอมออกไปเที่ยว

และคราวนี้ผู้ชายคนนั้นโชคดีอีกครั้ง - พวกเขาลืมลบสคริปต์ออกจากเคสแสดงผลซึ่งมีการฮาร์ดโค้ดรหัสผ่านผู้ดูแลระบบเซิร์ฟเวอร์ในเครื่อง ดังนั้นเส้นทางไปยังตัวควบคุมโดเมนจึงเปิดอยู่ เข้ามาทอม!

ที่นี่ดึงหมวกวิเศษออกจากที่นี่ มิมิคาทซ์ซึ่งได้กำไรจากผู้ดูแลระบบโดเมนหลายคน Tom Hunter สามารถเข้าถึงเครื่องทั้งหมดบนเครือข่ายท้องถิ่นได้ และเสียงหัวเราะอันชั่วร้ายทำให้แมวกลัวจากเก้าอี้ตัวถัดไป เส้นทางนี้สั้นกว่าที่คาดไว้

EternalBlue

ความทรงจำของ WannaCry และ Petya ยังคงอยู่ในใจของ Pentesters แต่ผู้ดูแลระบบบางคนดูเหมือนจะลืมเกี่ยวกับแรนซัมแวร์ในข่าวภาคค่ำอื่นๆ Tom ค้นพบสามโหนดที่มีช่องโหว่ในโปรโตคอล SMB - CVE-2017-0144 หรือ EternalBlue นี่เป็นช่องโหว่เดียวกับที่ใช้ในการเผยแพร่ WannaCry และ Petya ransomware ซึ่งเป็นช่องโหว่ที่อนุญาตให้เรียกใช้โค้ดที่กำหนดเองบนโฮสต์ได้ บนหนึ่งในโหนดที่มีช่องโหว่มีเซสชันผู้ดูแลระบบโดเมน - "ใช้ประโยชน์และรับมัน" คุณทำอะไรได้บ้าง เวลาไม่ได้สอนทุกคน

"สุนัขของบาสเตอร์วิลล์"

ความปลอดภัยของข้อมูลแบบคลาสสิกมักจะย้ำว่าจุดอ่อนที่สุดของระบบคือตัวบุคคล สังเกตว่าพาดหัวด้านบนไม่ตรงกับชื่อร้าน? บางทีอาจไม่ใช่ทุกคนที่ใส่ใจมากนัก

ตามประเพณีที่ดีที่สุดของฟิชชิ่งบล็อกบัสเตอร์ Tom Hunter จดทะเบียนโดเมนที่แตกต่างจากตัวอักษรหนึ่งตัวจากโดเมน “Hounds of the Baskervilles” ที่อยู่ทางไปรษณีย์ในโดเมนนี้เลียนแบบที่อยู่ของบริการรักษาความปลอดภัยข้อมูลของร้านค้า ตลอดระยะเวลา 4 วันระหว่างเวลา 16 น. ถึง 00 น. จดหมายต่อไปนี้ถูกส่งไปยังที่อยู่ 17 แห่งจากที่อยู่ปลอมอย่างสม่ำเสมอ:

บางทีความเกียจคร้านของพวกเขาเองเท่านั้นที่ช่วยพนักงานจากการรั่วไหลของรหัสผ่านจำนวนมาก จากจดหมายทั้งหมด 360 ฉบับ มีเพียง 61 ฉบับที่ถูกเปิด - บริการรักษาความปลอดภัยไม่ได้รับความนิยมมากนัก แต่แล้วมันก็ง่ายกว่า

หน้าฟิชชิ่ง

มีผู้คลิกลิงก์ 46 คน และพนักงานเกือบครึ่ง - 21 คน - ไม่ได้ดูแถบที่อยู่และป้อนข้อมูลเข้าสู่ระบบและรหัสผ่านอย่างใจเย็น จับได้ดีมากทอม

เครือข่าย Wi-Fi

ตอนนี้ไม่จำเป็นต้องพึ่งความช่วยเหลือของแมวแล้ว Tom Hunter โยนเหล็กหลายชิ้นใส่รถเก๋งคันเก่าของเขาแล้วไปที่ห้องทำงานของ Hound of the Baskervilles การเยี่ยมชมของเขาไม่ได้รับการตกลงกัน: ทอมกำลังจะทดสอบ Wi-Fi ของลูกค้า ในลานจอดรถของศูนย์ธุรกิจมีพื้นที่ว่างหลายแห่งซึ่งรวมอยู่ในขอบเขตของเครือข่ายเป้าหมายอย่างสะดวก เห็นได้ชัดว่าพวกเขาไม่ได้คิดมากเกี่ยวกับข้อจำกัดของมัน ราวกับว่าผู้ดูแลระบบสุ่มให้คะแนนเพิ่มเติมเพื่อตอบสนองต่อข้อร้องเรียนเกี่ยวกับ Wi-Fi ที่อ่อนแอ

การรักษาความปลอดภัย WPA/WPA2 PSK ทำงานอย่างไร การเข้ารหัสระหว่างจุดเข้าใช้งานและไคลเอนต์มีให้โดยคีย์เซสชันล่วงหน้า - Parawise Transient Key (PTK) PTK ใช้คีย์ที่แชร์ล่วงหน้าและพารามิเตอร์อื่นๆ อีกห้ารายการ ได้แก่ SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), จุดเข้าใช้งาน และที่อยู่ MAC ของไคลเอ็นต์ Tom สกัดกั้นพารามิเตอร์ทั้งห้าตัว และตอนนี้มีเพียงคีย์ที่แชร์ล่วงหน้าเท่านั้นที่หายไป

ยูทิลิตี้ Hashcat ดาวน์โหลดลิงก์ที่ขาดหายไปนี้ในเวลาประมาณ 50 นาที และฮีโร่ของเราก็ไปอยู่ในเครือข่ายแขก จากนั้นคุณจะเห็นรหัสที่ใช้งานได้ - น่าแปลกที่ Tom จัดการรหัสผ่านในเวลาประมาณเก้านาที และทั้งหมดนี้โดยไม่ต้องออกจากลานจอดรถ โดยไม่ต้องใช้ VPN เครือข่ายการทำงานได้เปิดขอบเขตสำหรับกิจกรรมอันเลวร้ายให้กับฮีโร่ของเรา แต่เขา... ไม่เคยเพิ่มโบนัสให้กับการ์ดร้านค้าเลย

ทอมหยุดชั่วคราว ดูนาฬิกา โยนธนบัตรสองสามใบลงบนโต๊ะ แล้วบอกลาออกจากร้านกาแฟ อาจจะเป็นเพนเทสต์อีกครั้ง หรืออาจจะเข้าแล้ว ช่องโทรเลข ฉันคิดจะเขียน...


ที่มา: will.com