İmzalamadaki gecikmeler tüm büyük şirketler için yaygındır. Kapsamlı bir pentest için Tom Hunter ile bir evcil hayvan mağazası zinciri arasındaki anlaşma da bir istisna değildi. Web sitesini, dahili ağı ve hatta çalışan Wi-Fi'yi kontrol etmek zorunda kaldık.
Tüm formaliteler halledilmeden önce bile ellerimin kaşınması şaşırtıcı değil. Her ihtimale karşı siteyi tarayın, "Baskervilles Tazısı" gibi tanınmış bir mağazanın burada hata yapması pek olası değil. Birkaç gün sonra Tom'a imzalı orijinal sözleşme nihayet teslim edildi - bu sırada, üçüncü fincan kahvenin ardından dahili CMS'den Tom depoların durumunu ilgiyle değerlendirdi...
Kaynak:
Ancak CMS'de pek fazla şey yönetmek mümkün olmadı - site yöneticileri Tom Hunter'ın IP'sini yasakladı. Mağaza kartında bonuslar oluşturmak ve sevgili kedinizi aylarca ucuza beslemek için zamanınızın olması mümkün olsa da... "Bu sefer değil, Darth Sidious," diye düşündü Tom gülümseyerek. Web sitesi alanından müşterinin yerel ağına gitmek de daha az ilginç olmazdı, ancak görünüşe göre bu segmentler müşteri için bağlantılı değil. Yine de bu durum çok büyük şirketlerde daha sık yaşanıyor.
Tüm formalitelerden sonra Tom Hunter, sağlanan VPN hesabını kullanarak müşterinin yerel ağına gitti. Hesap Active Directory alanının içindeydi, dolayısıyla herhangi bir özel numaraya gerek kalmadan AD'yi boşaltmak mümkündü; kullanıcılar ve çalışan makineler hakkında herkese açık tüm bilgiler tüketiliyordu.
Tom adfind yardımcı programını başlattı ve etki alanı denetleyicisine LDAP istekleri göndermeye başladı. ObjectСategory sınıfında, kişiyi bir nitelik olarak belirten bir filtre ile. Yanıt aşağıdaki yapıyla geri geldi:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZBuna ek olarak pek çok yararlı bilgi vardı ancak en ilgi çekici olanı >açıklama: >açıklama alanıydı. Bu, bir hesaba yapılan yorumdur; temel olarak küçük notlar tutmak için uygun bir yerdir. Ancak müşterinin yöneticileri şifrelerin de orada sessizce durabileceğine karar verdi. Sonuçta tüm bu önemsiz resmi kayıtlarla kim ilgilenebilir? Tom'un aldığı yorumlar şunlardı:
Создал Администратор, 2018.11.16 7po!*VqnSondaki kombinasyonun neden faydalı olduğunu anlamak için roket bilimcisi olmanıza gerek yok. Geriye kalan tek şey >description alanını kullanarak CD'deki büyük yanıt dosyasını ayrıştırmaktı: ve işte buradalardı - 20 oturum açma-şifre çifti. Üstelik neredeyse yarısı RDP erişim haklarına sahip. Fena bir köprübaşı değil, saldıran güçleri bölme zamanı.
ağ
Baskerville'in erişilebilir Hounds'ları, tüm kaosu ve öngörülemezliğiyle büyük bir şehri anımsatıyordu. Kullanıcı ve RDP profilleriyle Tom Hunter bu şehirde meteliksiz bir çocuktu ama o bile pek çok şeyi güvenlik politikasının parlak pencerelerinden görmeyi başardı.
Dosya sunucularının, muhasebe hesaplarının ve hatta bunlarla ilişkili komut dosyalarının bazı kısımları kamuya açıklandı. Bu komut dosyalarından birinin ayarlarında Tom, bir kullanıcının MS SQL karmasını buldu. Küçük bir kaba kuvvet büyüsü ve kullanıcının karması düz metin şifresine dönüştü. John The Ripper ve Hashcat'e teşekkürler.
Bu anahtar bir sandığa sığmalıydı. Sandık bulundu ve dahası on tane daha “sandık” onunla ilişkilendirildi. Ve altının içinde... süper kullanıcı hakları, nt yetki sistemi var! Bunlardan ikisinde xp_cmdshell saklı prosedürünü çalıştırıp Windows'a cmd komutları gönderebildik. Daha ne isteyebilirsin?
Etki alanı denetleyicileri
Tom Hunter, alan denetleyicilerine ikinci darbeyi hazırladı. Coğrafi olarak uzak sunucuların sayısına göre “Baskervillerin Köpekleri” ağında üç tane vardı. Her etki alanı denetleyicisinde, aynı zavallı çocuk Tom'un takıldığı bir mağazadaki açık vitrin gibi ortak bir klasör bulunur.
Ve bu sefer adam yine şanslıydı - betiği, yerel sunucu yönetici şifresinin sabit kodlandığı vitrinden kaldırmayı unuttular. Yani etki alanı denetleyicisine giden yol açıktı. İçeri gel Tom!
Sihirli şapka buradan çekildi , çeşitli etki alanı yöneticilerinden kâr elde eden. Tom Hunter yerel ağdaki tüm makinelere erişim sağladı ve şeytani kahkahalar yandaki sandalyedeki kediyi korkuttu. Bu rota beklenenden daha kısaydı.
EternalBlue
WannaCry ve Petya'nın anısı pentester'ların zihninde hâlâ canlı, ancak bazı yöneticiler diğer akşam haberlerinin akışında fidye yazılımını unutmuş gibi görünüyor. Tom, SMB protokolünde güvenlik açığı bulunan üç düğüm keşfetti: CVE-2017-0144 veya EternalBlue. Bu, bir ana bilgisayarda rastgele kod çalıştırılmasına izin veren bir güvenlik açığı olan WannaCry ve Petya fidye yazılımını dağıtmak için kullanılan güvenlik açığının aynısıdır. Savunmasız düğümlerden birinde bir alan yöneticisi oturumu vardı - "kullan ve al." Ne yapabilirsin, zaman herkese öğretmedi.
"Basterville'in Köpeği"
Bilgi güvenliği klasikleri, herhangi bir sistemin en zayıf noktasının kişi olduğunu tekrarlamayı sever. Yukarıdaki başlığın mağazanın adıyla eşleşmediğini fark ettiniz mi? Belki herkes bu kadar dikkatli değildir.
Kimlik avı gişe rekorları kıranların en iyi geleneklerinde Tom Hunter, "Baskervilles Hounds" alanından bir harf farklı olan bir alan adı kaydettirdi. Bu alandaki posta adresi, mağazanın bilgi güvenliği hizmetinin adresini taklit ediyordu. 4 gün boyunca saat 16'dan 00'ye kadar sahte bir adresten 17 adrese aşağıdaki mektup gönderildi:
Belki de çalışanları toplu şifre sızıntısından yalnızca kendi tembellikleri kurtardı. 360 mektuptan sadece 61'i açıldı - güvenlik hizmeti pek popüler değil. Ama sonra daha kolaydı.
Kimlik avı sayfası
Bağlantıya 46 kişi tıkladı ve neredeyse yarısı (21 çalışan) adres çubuğuna bakmadı ve sakin bir şekilde kullanıcı adlarını ve şifrelerini girdi. İyi yakaladın, Tom.
kablosuz ağ
Artık kedinin yardımına güvenmeye gerek yoktu. Tom Hunter eski sedanına birkaç demir parçası attı ve Baskerville Tazısı'nın ofisine gitti. Ziyaretine karar verilmedi: Tom müşterinin Wi-Fi'sini test edecekti. İş merkezinin otoparkında, hedef ağın çevresine uygun şekilde dahil edilen birkaç boş alan vardı. Görünüşe göre, sınırlama hakkında pek düşünmediler; sanki yöneticiler zayıf Wi-Fi ile ilgili herhangi bir şikayete yanıt olarak rastgele ek puanlar veriyormuş gibi.
WPA/WPA2 PSK güvenliği nasıl çalışır? Erişim noktası ile istemciler arasındaki şifreleme, oturum öncesi bir anahtar olan Çift Yönlü Geçici Anahtar (PTK) tarafından sağlanır. PTK, Ön Paylaşımlı Anahtarı ve diğer beş parametreyi kullanır: SSID, Kimlik Doğrulayıcı Nounce (ANounce), Supplicant Nounce (SNounce), erişim noktası ve istemci MAC adresleri. Tom beş parametrenin tümüne müdahale etti ve artık yalnızca Ön Paylaşımlı Anahtar eksikti.
Hashcat yardımcı programı bu eksik bağlantıyı yaklaşık 50 dakika içinde indirdi ve kahramanımız kendisini konuk ağına dahil etti. Oradan zaten çalışan şifreyi görebiliyordunuz - tuhaf bir şekilde, burada Tom şifreyi yaklaşık dokuz dakika içinde yönetti. Üstelik tüm bunları otoparktan çıkmadan, herhangi bir VPN olmadan gerçekleştirebilirsiniz. Çalışma ağı, kahramanımıza korkunç faaliyetler için alan açtı, ancak o... mağaza kartına hiçbir zaman bonus eklemedi.
Tom durakladı, saatine baktı, masaya birkaç banknot attı ve vedalaşarak kafeden ayrıldı. Belki yine bir sızma testidir, ya da belki de yazmayı düşündüm...
Kaynak: habr.com