Ang mga pagkaantala sa pagpirma ay karaniwan para sa anumang malaking kumpanya. Ang kasunduan sa pagitan ng Tom Hunter at isang chain pet store para sa masusing pentesting ay walang exception. Kinailangan naming suriin ang website, ang panloob na network, at kahit gumagana ang Wi-Fi.
Hindi nakakagulat na ang aking mga kamay ay nangangati kahit na hindi pa naayos ang lahat ng mga pormalidad. Well, i-scan lang ang site kung sakali, malabong magkamali dito ang isang kilalang tindahan bilang "The Hound of the Baskervilles". Pagkalipas ng ilang araw, sa wakas ay naihatid na kay Tom ang pinirmahang orihinal na kontrata - sa oras na ito, sa ikatlong tasa ng kape, tinasa ni Tom mula sa panloob na CMS nang may interes ang kalagayan ng mga bodega...
Pinagmulan:
Ngunit hindi posible na pamahalaan ang marami sa CMS - pinagbawalan ng mga administrator ng site ang IP ni Tom Hunter. Bagama't posibleng magkaroon ng oras upang makabuo ng mga bonus sa store card at pakainin ang iyong minamahal na pusa sa mura sa loob ng maraming buwan... "Not this time, Darth Sidious," nakangiting naisip ni Tom. Magiging mas kawili-wiling pumunta mula sa lugar ng website patungo sa lokal na network ng customer, ngunit tila ang mga segment na ito ay hindi konektado para sa kliyente. Gayunpaman, mas madalas itong nangyayari sa napakalaking kumpanya.
Matapos ang lahat ng mga pormalidad, armado si Tom Hunter ng ibinigay na VPN account at pumunta sa lokal na network ng customer. Ang account ay nasa loob ng domain ng Active Directory, kaya posible na i-dump ang AD nang walang anumang mga espesyal na trick - pag-drain ng lahat ng pampublikong magagamit na impormasyon tungkol sa mga user at gumaganang makina.
Inilunsad ni Tom ang adfind utility at nagsimulang magpadala ng mga kahilingan sa LDAP sa domain controller. Sa pamamagitan ng isang filter sa objectСategory class, na tumutukoy sa tao bilang isang katangian. Ang tugon ay bumalik kasama ang sumusunod na istraktura:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZBilang karagdagan dito, mayroong maraming kapaki-pakinabang na impormasyon, ngunit ang pinakakawili-wili ay nasa >description: >description field. Ito ay isang komento sa isang account - karaniwang isang maginhawang lugar upang magtago ng mga maliliit na tala. Ngunit nagpasya ang mga administrador ng kliyente na ang mga password ay maaari ding umupo doon nang tahimik. Sino, pagkatapos ng lahat, ang maaaring maging interesado sa lahat ng hindi gaanong mahalagang mga opisyal na rekord na ito? Kaya ang mga komentong natanggap ni Tom ay:
Создал Администратор, 2018.11.16 7po!*VqnHindi mo kailangang maging isang rocket scientist para maunawaan kung bakit kapaki-pakinabang ang kumbinasyon sa dulo. Ang natitira na lang ay i-parse ang malaking file ng tugon mula sa CD gamit ang > field ng paglalarawan: at narito sila - 20 pares ng login-password. Bukod dito, halos kalahati ay may mga karapatan sa pag-access ng RDP. Hindi isang masamang tulay, oras na upang hatiin ang mga pwersang umaatake.
network
Ang mga naa-access na Hounds ng mga bola ng Baskerville ay nakapagpapaalaala sa isang malaking lungsod sa lahat ng kaguluhan at hindi mahuhulaan nito. Sa mga profile ng user at RDP, si Tom Hunter ay isang sirang batang lalaki sa lungsod na ito, ngunit kahit na siya ay nagawang makakita ng maraming bagay sa pamamagitan ng makintab na bintana ng patakaran sa seguridad.
Ang mga bahagi ng mga file server, accounting account, at maging ang mga script na nauugnay sa mga ito ay ginawang pampubliko. Sa mga setting ng isa sa mga script na ito, nakita ni Tom ang MS SQL hash ng isang user. Isang maliit na brute force magic - at ang hash ng user ay naging isang plain text na password. Salamat kay John The Ripper at Hashcat.
Ang susi na ito ay dapat na magkasya sa ilang dibdib. Natagpuan ang dibdib, at higit pa, sampung higit pang "dibdib" ang nauugnay dito. At sa loob ng anim na lay... superuser rights, nt authority system! Sa dalawa sa kanila nagawa naming patakbuhin ang xp_cmdshell stored procedure at magpadala ng mga command na cmd sa Windows. Ano pa ang gusto mo?
Mga controller ng domain
Inihanda ni Tom Hunter ang pangalawang suntok para sa mga controllers ng domain. Mayroong tatlo sa kanila sa network na "Mga Aso ng Baskervilles", alinsunod sa bilang ng mga server na malayo sa heograpiya. Ang bawat domain controller ay may pampublikong folder, tulad ng isang bukas na display case sa isang tindahan, malapit sa kung saan tumatambay ang kawawang batang si Tom.
At sa pagkakataong ito ay masuwerte muli ang lalaki - nakalimutan nilang tanggalin ang script mula sa display case, kung saan naka-hardcode ang password ng admin ng lokal na server. Kaya't ang landas patungo sa domain controller ay bukas. Pumasok ka, Tom!
Dito mula sa magic hat ay hinila , na nakinabang mula sa ilang mga administrator ng domain. Si Tom Hunter ay nakakuha ng access sa lahat ng mga makina sa lokal na network, at ang malademonyong pagtawa ay natakot sa pusa mula sa susunod na upuan. Ang rutang ito ay mas maikli kaysa sa inaasahan.
EternalBlue
Ang alaala ng WannaCry at Petya ay buhay pa rin sa isipan ng mga pentester, ngunit ang ilang mga admin ay tila nakalimutan ang tungkol sa ransomware sa daloy ng iba pang mga balita sa gabi. Natuklasan ni Tom ang tatlong node na may kahinaan sa SMB protocol - CVE-2017-0144 o EternalBlue. Ito ang parehong kahinaan na ginamit upang ipamahagi ang WannaCry at Petya ransomware, isang kahinaan na nagpapahintulot sa arbitrary na code na isagawa sa isang host. Sa isa sa mga vulnerable na node ay mayroong session ng admin ng domain - "exploit and get it." Ano ang magagawa mo, hindi itinuro ng oras ang lahat.
"Ang Aso ng Basterville"
Ang mga klasiko ng seguridad ng impormasyon ay gustong ulitin na ang pinakamahinang punto ng anumang sistema ay ang tao. Pansinin na ang headline sa itaas ay hindi tumutugma sa pangalan ng tindahan? Marahil hindi lahat ay masyadong maasikaso.
Sa pinakamahuhusay na tradisyon ng mga phishing blockbuster, nagrehistro si Tom Hunter ng domain na naiiba ng isang titik mula sa domain na "Hounds of the Baskervilles". Ginaya ng mailing address sa domain na ito ang address ng serbisyo sa seguridad ng impormasyon ng tindahan. Sa loob ng 4 na araw mula 16:00 hanggang 17:00, ang sumusunod na liham ay pantay na ipinadala sa 360 na mga address mula sa isang pekeng address:
Marahil, ang kanilang sariling katamaran lamang ang nagligtas sa mga empleyado mula sa malawakang pagtagas ng mga password. Sa 360 na mga titik, 61 lamang ang nabuksan - ang serbisyo ng seguridad ay hindi masyadong sikat. Ngunit pagkatapos ay naging mas madali.
Pahina ng phishing
46 na tao ang nag-click sa link at halos kalahati - 21 empleyado - ay hindi tumingin sa address bar at mahinahong ipinasok ang kanilang mga login at password. Magandang catch, Tom.
Wi-Fi network
Ngayon ay hindi na kailangang umasa sa tulong ng pusa. Inihagis ni Tom Hunter ang ilang pirasong bakal sa kanyang lumang sedan at pumunta sa opisina ng Hound of the Baskervilles. Hindi napagkasunduan ang kanyang pagbisita: Susubukin ni Tom ang Wi-Fi ng customer. Sa paradahan ng business center mayroong maraming mga libreng puwang na maginhawang kasama sa perimeter ng target na network. Tila, hindi nila masyadong inisip ang limitasyon nito - na para bang ang mga administrator ay random na nagsusundo ng karagdagang mga puntos bilang tugon sa anumang reklamo tungkol sa mahinang Wi-Fi.
Paano gumagana ang seguridad ng WPA/WPA2 PSK? Ang pag-encrypt sa pagitan ng access point at mga kliyente ay ibinibigay ng isang pre-session key - Pairwise Transient Key (PTK). Ginagamit ng PTK ang Pre-Shared Key at limang iba pang parameter - SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), access point at mga MAC address ng kliyente. Na-intercept ni Tom ang lahat ng limang parameter, at ngayon ay ang Pre-Shared Key na lang ang nawawala.
Na-download ng Hashcat utility ang nawawalang link na ito sa loob ng humigit-kumulang 50 minuto - at ang ating bayani ay napunta sa guest network. Mula dito maaari mo nang makita ang gumagana - sapat na kakatwa, dito pinamahalaan ni Tom ang password sa halos siyam na minuto. At lahat ng ito nang hindi umaalis sa paradahan, nang walang anumang VPN. Ang gumaganang network ay nagbukas ng saklaw para sa mga kahanga-hangang aktibidad para sa ating bayani, ngunit siya... hindi kailanman nagdagdag ng mga bonus sa store card.
Huminto si Tom, tumingin sa kanyang relo, naghagis ng ilang banknotes sa mesa at, nagpaalam, umalis sa cafe. Baka pentest na naman, o kaya naman in Naisipan kong magsulat...
Pinagmulan: www.habr.com