Затягнути з підписанням – звичайна справа для будь-якої великої компанії. Винятком не став договір між Томом Хантером та одним мережевим зоомагазином на ґрунтовний пентестинг. Треба було перевірити і сайт, і внутрішню мережу, і навіть робочий Wi-Fi.
Не дивно, що руки засвербіли ще до того, як були улагоджені всі формальності. Ну просто посканувати сайт про всяк випадок, навряд чи такий відомий магазин, як «Собака Баскервільових», допустить промахи вже тут. Через кілька днів Тому таки доставили підписаний оригінал договору — у цей час за третім кухлем кави Том із внутрішньої CMS з цікавістю оцінював стан складів.
Джерело:
Але особливо погосподарювати в CMS не вдалося IP Тома Хантера адміністратори сайту забанили. Хоча можна було б встигнути згенерувати бонусів на карту магазину і довгі місяці годувати коханого кота дешево... «Не цього разу, Дарт Сідіус» — з усмішкою подумав Том. Було б не менш цікаво пройти із зони веб-сайту в локальну мережу замовника, але ці сегменти у клієнта не пов'язані. Все-таки так частіше буває у великих компаніях.
Після всіх формальностей Том Хантер озброївся даною VPN-обліковкою і вирушив у локальну мережу замовника. Обліковий запис був усередині домену Active Directory, так що можна було взяти і без особливих хитрощів зробити дамп AD - злити всю загальнодоступну інформацію про користувачів та робочі машини.
Том запустив утиліту adfind і почав надсилати на контролер домену LDAP-запити. З фільтром за класом об'єктаСатегори, вказавши людину як атрибут. Повернулася відповідь ось із такою структурою:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZКрім цього було багато корисної інформації, але найцікавіше лежало у полі >description: >description. Це коментар до облікового запису — в принципі зручне місце, щоб зберігати незначні позначки. Але адміністратори клієнта вважали, що паролі можуть тут спокійно полежати. Кому зрештою можуть бути цікаві всі ці незначні службові обліки? Тому коментарі, які отримав Том, мали вигляд:
Создал Администратор, 2018.11.16 7po!*VqnНе треба бути семи п'ядей у лобі, щоб зрозуміти, для чого знадобиться комбінація наприкінці. Залишалося розпарсувати великий файл відповіді від КД по полю > description: і ось вони - 20 пар логін-пароль. Причому майже половина має права доступу RDP. Непоганий плацдарм, час поділити атакуючі сили.
мережеве оточення
Доступні кулі «Собаки Баскервільових» нагадували велике місто у всьому його хаосі та непередбачуваності. З профілями user та RDP Том Хантер був у цьому місті жебраком хлопчиком, але навіть він встиг багато чого розглянути через сяючі вітрини безпекової політики.
Частини файл-серверів, бухгалтерські рахунки і навіть пов'язані з ними скрипти — це було викладено в загальний доступ. У налаштуваннях одного з таких скриптів Том знайшов MS SQL-хеш одного користувача. Трохи магії брутфорсу - і хеш користувача перетворився на plain text пароль. Дякую John The Ripper та Hashcat.
До якоїсь скрині цей ключ мав підійти. Скриня була знайдена, і більше того — з нею було пов'язано ще десять «скриньок». І всередині шести лежали... права суперкористувача, nt authorityсистема! На двох вдалося запустити збережену процедуру xp_cmdshell і відправити cmd-команди у Windows. Чого ще забажати?
Домен-контролери
Другий удар Том Хантер приготував для домен-контролерів. У мережі «Собаки Баскервільових» їх було три – відповідно до кількості територіально віддалених серверів. Кожен домен-контролер має загальнодоступну папку, немов відкриту вітрину в магазині, біля якої ошивається той жебрак Том.
І цього разу хлопцеві знову пощастило — з вітрини забули прибрати скрипт, де був захардований пароль локального серверного адміну. Отже, шлях до домен-контролера був відкритий. Заходь, Томе!
Тут із чарівного капелюха було витягнуто , який поживився кількома домен-адміністраторами Том Хантер отримав доступ до всіх машин у локальній мережі, і диявольський регіт злякав кота з сусіднього крісла. Цей шлях був коротшим, ніж очікувалося.
EternalBlue
Пам'ять про WannaCry та Petya ще жива в умах пентестерів, але деякі адміни, схоже, забули про шифрувальників у потоці інших вечірніх новин. Том виявив три вузли з уразливістю в протоколі SMB - CVE-2017-0144 або EternalBlue. Це та вразливість, за допомогою якої поширювалися шифрувальники WannaCry і Petya, вразливість, яка дозволяє виконати довільний код на вузлі. На одному з уразливих вузлів була сесія доменного адміна — «проексплуатувати та отримай». Що вдієш, час навчив не всіх.
«Собака Бастервільових»
Класики інформаційної безпеки люблять повторювати, що найслабшим місцем будь-якої системи є людина. Зауважили, що заголовок вище не відповідає назві магазину? Можливо, не всі такі уважні.
У кращих традиціях фішингових блокбастерів Том Хантер зареєстрував домен, який на одну літеру відрізняється від домену «Собаки Баскервільових». Поштова адреса на цьому домені імітувала адресу служби інформаційної безпеки магазину. Протягом 4 днів з 16:00 до 17:00 рівномірно на 360 адрес з фейкової адреси розсилався такий лист:
Мабуть, від масового зливу паролів співробітників врятувала лише їхня власна лінь. З 360 листів відкрили лише 61 — служба безпеки не користується великою популярністю. Проте далі було простіше.
Фішингова сторінка
46 людей клікнули за посиланням і майже половина - 21 співробітник - не подивилися в адресний рядок і спокійно запровадили свої логіни-паролі. Гарний улов, Томе.
Wi-Fi мережу
Тепер на допомогу кота розраховувати не доводилося. Том Хантер закинув у свій старенький седан кілька залізниць і вирушив до офісу «Собаки Баскервільових». Візит його погоджено не був: Том збирався випробувати Wi-Fi замовника. На парковці бізнес-центру знайшлося кілька вільних місць, які вдало входили до периметру цільової мережі. Про його обмеження, мабуть, особливо не замислювалися — ніби адміністратори безладно тицяли додаткові крапки у відповідь на будь-яку скаргу про слабкого вай-фая.
Як працює захист WPA/WPA2 PSK? Шифрування між точкою доступу та клієнтами забезпечує ключ попередньої сесії – Pairwise Transient Key (PTK). PTK використовує Pre-Shared Key та п'ять інших параметрів - SSID, Authenticator Nounce (ANounce), Supplicant Nounce (SNounce), MAC-адреси точки доступу та клієнта. Том перехопив усі п'ять параметрів, і тепер не вистачало лише Pre-Shared Key.
Утиліта Hashcat забрукала цю ланку хвилин за 50 — і наш герой опинився в гостьовій мережі. З неї вже можна було побачити робочу — як не дивно, тут Том упорався з паролем за дев'ять хвилин. І все це не йдучи з паркування, без будь-яких VPN. Робоча мережа відкривала нашому герою простори для жахливої діяльності, але він так і не накинув бонусів на карту магазину.
Том витримав паузу, подивився на годинник, кинув кілька банкнот на столик і, розпрощавшись, вийшов із кафе. Може, знову пентест, а може, що й у придумав написати…
Джерело: habr.com