Imzolashda kechikishlar har qanday yirik kompaniya uchun odatiy holdir. Tom Hunter va uy hayvonlari do'koni o'rtasidagi sinchkovlik bilan sinovdan o'tkazish bo'yicha kelishuv bundan mustasno emas edi. Biz veb-saytni, ichki tarmoqni va hatto ishlaydigan Wi-Fi-ni tekshirishimiz kerak edi.
Barcha rasmiyatchiliklar hal bo'lishidan oldin ham qo'llarim qichishgan bo'lsa ajabmas. Xo'sh, shunchaki saytni skanerlang, "Baskervillarning iti" kabi taniqli do'kon bu erda xatoga yo'l qo'yishi dargumon. Bir necha kundan so'ng, Tomga nihoyat imzolangan asl shartnoma topshirildi - bu vaqtda, uchinchi krujka qahva ustida, ichki CMSdan Tom omborlarning holatini qiziqish bilan baholadi ...
Manba:
Ammo CMS-da ko'p narsalarni boshqarishning iloji bo'lmadi - sayt ma'murlari Tom Hunterning IP-ni taqiqlashdi. Garchi do'kon kartasida bonuslar ishlab chiqarish va sevimli mushukingizni ko'p oylar davomida arzonga boqish uchun vaqt topish mumkin bo'lsa-da ... "Bu safar emas, Darth Sidious", deb o'yladi Tom jilmayib. Veb-sayt hududidan mijozning mahalliy tarmog'iga o'tish qiziqroq bo'lmaydi, ammo bu segmentlar mijoz uchun ulanmagan ko'rinadi. Shunga qaramay, bu juda katta kompaniyalarda tez-tez sodir bo'ladi.
Barcha rasmiyatchiliklardan so'ng Tom Hunter taqdim etilgan VPN hisobi bilan qurollanib, mijozning mahalliy tarmog'iga o'tdi. Hisob Active Directory domenida edi, shuning uchun ADni hech qanday maxsus hiylalarsiz o'chirish mumkin edi - foydalanuvchilar va ishlaydigan mashinalar haqidagi barcha ochiq ma'lumotlarni o'chirib tashlash.
Tom adfind yordam dasturini ishga tushirdi va domen boshqaruvchisiga LDAP so'rovlarini yuborishni boshladi. Atribut sifatida shaxsni ko'rsatuvchi ob'ekt toifasidagi filtr bilan. Javob quyidagi tuzilma bilan qaytdi:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZBunga qo'shimcha ravishda juda ko'p foydali ma'lumotlar bor edi, lekin eng qiziqarlisi >description: >description maydonida edi. Bu akkauntga sharh - asosan kichik qaydlarni saqlash uchun qulay joy. Ammo mijozning ma'murlari parollar ham u erda jimgina o'tirishga qaror qilishdi. Oxir oqibat, bu arzimas rasmiy yozuvlar kimni qiziqtirishi mumkin? Shunday qilib, Tom olgan sharhlar:
Создал Администратор, 2018.11.16 7po!*VqnOxirgi kombinatsiya nima uchun foydali ekanligini tushunish uchun raketa olimi bo'lish shart emas. Faqat >ta'rif maydonidan foydalangan holda kompakt diskdagi katta javob faylini tahlil qilishgina qoldi: ular mana - 20 ta login-parol juftligi. Bundan tashqari, deyarli yarmi RDP kirish huquqiga ega. Yomon ko'prik emas, hujum qiluvchi kuchlarni ajratish vaqti.
tarmoq
Baskervill to'plari o'zining betartibligi va oldindan aytib bo'lmaydiganligi bilan katta shaharni eslatardi. Foydalanuvchi va RDP profillari bilan Tom Hunter bu shaharda buzilgan bola edi, lekin hatto u xavfsizlik siyosatining yorqin oynalari orqali ko'p narsalarni ko'rishga muvaffaq bo'ldi.
Fayl serverlarining bir qismi, buxgalteriya hisoblari va hatto ular bilan bog'langan skriptlar hammasi ochiq edi. Ushbu skriptlardan birining sozlamalarida Tom bitta foydalanuvchining MS SQL xeshini topdi. Bir oz qo'pol kuch sehri - va foydalanuvchi xeshi oddiy matn paroliga aylandi. Jon Ripper va Hashcatga rahmat.
Bu kalit ko'krak qafasiga to'g'ri kelishi kerak. Ko'krak topildi va bundan tashqari, yana o'nta "ko'krak" u bilan bog'liq edi. Va oltita ichida ... superfoydalanuvchi huquqlari, nt hokimiyat tizimi! Ulardan ikkitasida biz xp_cmdshell saqlangan protsedurasini ishga tushira oldik va Windows-ga cmd buyruqlarini yubora oldik. Yana nimani xohlaysiz?
Domen kontrollerlari
Tom Hunter domen kontrollerlari uchun ikkinchi zarbani tayyorladi. Geografik jihatdan uzoq serverlar soniga ko'ra, "Baskervillarning itlari" tarmog'ida ulardan uchtasi bor edi. Har bir domen boshqaruvchisi do'kondagi ochiq vitrin kabi umumiy papkaga ega bo'lib, uning yonida o'sha bechora Tom o'tiribdi.
Va bu safar yigitga yana omad kulib boqdi - ular skriptni displeydan olib tashlashni unutishdi, u erda mahalliy server administratori paroli qattiq kodlangan. Shunday qilib, domen boshqaruvchisiga yo'l ochiq edi. Kiring, Tom!
Bu erda sehrli shlyapa chiqarildi , bir nechta domen ma'murlaridan foyda ko'rgan. Tom Hunter mahalliy tarmoqdagi barcha mashinalarga kirish huquqiga ega bo'ldi va shaytonning qahqahasi mushukni keyingi stuldan qo'rqitdi. Bu marshrut kutilganidan qisqaroq edi.
EternalBlue
WannaCry va Petya xotirasi pentesterlarning ongida hali ham tirik, ammo ba'zi administratorlar boshqa kechki yangiliklar oqimida to'lov dasturini unutganga o'xshaydi. Tom SMB protokolida zaifligi bo'lgan uchta tugunni topdi - CVE-2017-0144 yoki EternalBlue. Bu WannaCry va Petya ransomware dasturlarini tarqatishda foydalanilgan zaiflikdir, bu zaiflik xostda o'zboshimchalik bilan kodni bajarishga imkon beradi. Zaif tugunlardan birida domen administratori sessiyasi mavjud edi - "ekspluatatsiya qiling va uni oling". Nima qilasan, vaqt hammani ham o'rgatgani yo'q.
"Bastervilning iti"
Axborot xavfsizligi klassiklari har qanday tizimning eng zaif nuqtasi inson ekanligini takrorlashni yaxshi ko'radilar. Yuqoridagi sarlavha do'kon nomiga mos kelmasligiga e'tibor bering? Ehtimol, hamma ham juda ehtiyotkor emas.
Fishing blokbasterlarining eng yaxshi an'analarida Tom Hunter "Baskervillar ovlari" domenidan bir harf bilan farq qiluvchi domenni ro'yxatdan o'tkazdi. Ushbu domendagi pochta manzili do'konning axborot xavfsizligi xizmati manziliga taqlid qilgan. 4 kun davomida soat 16:00 dan 17:00 gacha soxta manzildan 360 ta manzilga bir xilda quyidagi xat yuborildi:
Ehtimol, faqat o'zlarining dangasaliklari xodimlarni parollarning ommaviy tarqalishidan qutqargan. 360 ta xatdan faqat 61 tasi ochildi - xavfsizlik xizmati unchalik mashhur emas. Ammo keyin osonroq bo'ldi.
Fishing sahifasi
46 kishi havolani bosdi va deyarli yarmi - 21 xodim manzillar qatoriga qaramadi va o'z login va parollarini xotirjam kiritdi. Yaxshi ushladim, Tom.
Wi-Fi tarmog'i
Endi mushukning yordamiga umid qilishning hojati yo'q edi. Tom Xanter o'zining eski sedaniga bir nechta temir parchalarini tashladi va Baskervillar itining ofisiga bordi. Uning tashrifi kelishib olinmadi: Tom mijozning Wi-Fi tarmog'ini sinab ko'rmoqchi edi. Biznes markazining to'xtash joyida maqsadli tarmoqning perimetriga qulay tarzda kiritilgan bir nechta bo'sh joylar mavjud edi. Ko'rinishidan, ular uning cheklanishi haqida ko'p o'ylamaganlar - go'yo ma'murlar zaif Wi-Fi haqida har qanday shikoyatga javoban tasodifiy qo'shimcha nuqtalarni qo'yishgan.
WPA/WPA2 PSK xavfsizligi qanday ishlaydi? Kirish nuqtasi va mijozlar o'rtasidagi shifrlash sessiya oldidan kalit - Pairwise Transient Key (PTK) tomonidan ta'minlanadi. PTK Pre-Shared Key va boshqa besh parametr - SSID, Authenticator Nounce (ANunce), Supplicant Nounce (SNouce), kirish nuqtasi va mijozning MAC manzillaridan foydalanadi. Tom barcha besh parametrni to'xtatdi va endi faqat Pre-Shared Key yo'q edi.
Hashcat yordam dasturi ushbu etishmayotgan havolani taxminan 50 daqiqada yuklab oldi - va bizning qahramonimiz mehmonlar tarmog'iga kirdi. Undan siz allaqachon ishlayotganini ko'rishingiz mumkin edi - g'alati, bu erda Tom taxminan to'qqiz daqiqada parolni boshqargan. Va bularning barchasi to'xtash joyidan chiqmasdan, hech qanday VPNsiz. Ishchi tarmoq bizning qahramonimiz uchun dahshatli harakatlar uchun imkoniyat yaratdi, lekin u hech qachon do'kon kartasiga bonuslarni qo'shmagan.
Tom to'xtab qoldi, soatiga qaradi, stol ustiga bir nechta banknotlarni tashladi va xayrlashib, kafeni tark etdi. Balki bu yana pentest, yoki ehtimol u Men yozishni o'yladim ...
Manba: www.habr.com