Sự chậm trễ trong việc ký kết là điều bình thường đối với bất kỳ công ty lớn nào. Thỏa thuận giữa Tom Hunter và một chuỗi cửa hàng thú cưng về việc kiểm tra kỹ lưỡng cũng không ngoại lệ. Chúng tôi phải kiểm tra trang web, mạng nội bộ và thậm chí cả Wi-Fi đang hoạt động.
Không có gì đáng ngạc nhiên khi tay tôi ngứa ngáy ngay cả trước khi mọi thủ tục được giải quyết. Chà, chỉ cần quét trang web để đề phòng, khó có khả năng một cửa hàng nổi tiếng như “The Hound of the Baskervilles” lại mắc sai lầm ở đây. Vài ngày sau, Tom cuối cùng cũng được giao hợp đồng gốc đã ký - vào thời điểm này, sau cốc cà phê thứ ba, Tom từ CMS nội bộ đã đánh giá một cách thích thú về tình trạng của nhà kho...
Nguồn:
Nhưng không thể quản lý nhiều trong CMS - quản trị viên trang web đã cấm IP của Tom Hunter. Mặc dù bạn có thể có thời gian để kiếm tiền thưởng trên thẻ cửa hàng và cho con mèo yêu quý của mình ăn với giá rẻ trong nhiều tháng... “Không phải lúc này, Darth Sidious,” Tom mỉm cười nghĩ. Sẽ không kém phần thú vị nếu đi từ khu vực trang web đến mạng cục bộ của khách hàng, nhưng rõ ràng những phân khúc này không được kết nối với khách hàng. Tuy nhiên, điều này xảy ra thường xuyên hơn ở các công ty rất lớn.
Sau tất cả các thủ tục, Tom Hunter đã trang bị cho mình tài khoản VPN được cung cấp và truy cập mạng cục bộ của khách hàng. Tài khoản này nằm trong miền Active Directory nên có thể loại bỏ AD mà không cần bất kỳ thủ thuật đặc biệt nào - lấy đi tất cả thông tin có sẵn công khai về người dùng và máy đang hoạt động.
Tom khởi chạy tiện ích adfind và bắt đầu gửi yêu cầu LDAP tới bộ điều khiển miền. Với bộ lọc trên lớp objectСcategory, chỉ định người làm thuộc tính. Phản hồi đã trở lại với cấu trúc sau:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0ZNgoài ra, còn có rất nhiều thông tin hữu ích, nhưng thú vị nhất là ở trường >description: >description. Đây là một nhận xét trên một tài khoản - về cơ bản là một nơi thuận tiện để lưu giữ những ghi chú nhỏ. Nhưng quản trị viên của khách hàng đã quyết định rằng mật khẩu cũng có thể nằm yên ở đó. Rốt cuộc thì ai có thể quan tâm đến tất cả những hồ sơ chính thức tầm thường này? Vì vậy, những ý kiến Tom nhận được là:
Создал Администратор, 2018.11.16 7po!*VqnBạn không cần phải là một nhà khoa học tên lửa để hiểu tại sao sự kết hợp ở cuối lại hữu ích. Tất cả những gì còn lại là phân tích cú pháp tệp phản hồi lớn từ đĩa CD bằng cách sử dụng trường >description: và đây là - 20 cặp mật khẩu đăng nhập. Hơn nữa, gần một nửa có quyền truy cập RDP. Một đầu cầu không tệ, đã đến lúc chia lực lượng tấn công.
môi trường mạng
Những quả bóng Hounds of the Baskerville dễ tiếp cận gợi nhớ đến một thành phố lớn với tất cả sự hỗn loạn và khó đoán của nó. Với hồ sơ người dùng và RDP, Tom Hunter là một cậu bé nghèo túng ở thành phố này, nhưng thậm chí anh ấy còn có thể nhìn thấy nhiều thứ qua cánh cửa sổ sáng bóng của chính sách bảo mật.
Các phần của máy chủ tệp, tài khoản kế toán và thậm chí cả các tập lệnh liên quan đến chúng đều được công khai. Trong cài đặt của một trong những tập lệnh này, Tom đã tìm thấy hàm băm MS SQL của một người dùng. Một chút phép thuật mạnh mẽ - và hàm băm của người dùng biến thành mật khẩu văn bản đơn giản. Cảm ơn John The Ripper và Hashcat.
Chiếc chìa khóa này lẽ ra phải vừa với một chiếc ngực nào đó. Chiếc rương đã được tìm thấy và hơn thế nữa, có thêm XNUMX chiếc rương khác được liên kết với nó. Và bên trong sáu giáo dân... quyền siêu người dùng, hệ thống quyền hạn nt! Trên hai trong số chúng, chúng tôi có thể chạy thủ tục lưu sẵn xp_cmdshell và gửi lệnh cmd tới Windows. Bạn có cần gì nữa không?
Bộ điều khiển miền
Tom Hunter chuẩn bị đòn thứ hai cho bộ điều khiển miền. Có ba người trong số họ trong mạng “Dogs of the Baskervilles”, tùy theo số lượng máy chủ ở xa về mặt địa lý. Mỗi bộ điều khiển miền có một thư mục chung, giống như một tủ trưng bày mở trong cửa hàng, gần đó cậu bé tội nghiệp Tom hay lui tới.
Và lần này anh chàng lại gặp may - họ quên xóa tập lệnh khỏi tủ trưng bày, nơi mật khẩu quản trị viên máy chủ cục bộ được mã hóa cứng. Vậy là đường dẫn đến bộ điều khiển miền đã mở. Vào đi, Tom!
Ở đây từ chiếc mũ ma thuật đã được kéo , người được hưởng lợi từ một số quản trị viên tên miền. Tom Hunter có quyền truy cập vào tất cả các máy trên mạng cục bộ, và tiếng cười quỷ quái khiến con mèo ở chiếc ghế bên cạnh sợ hãi. Tuyến đường này ngắn hơn dự kiến.
Vĩnh cửu
Ký ức về WannaCry và Petya vẫn còn sống động trong tâm trí những người pentester, nhưng một số quản trị viên dường như đã quên mất ransomware trong dòng tin tức buổi tối khác. Tom đã phát hiện ra ba nút có lỗ hổng trong giao thức SMB – CVE-2017-0144 hoặc EternalBlue. Đây chính là lỗ hổng đã được sử dụng để phân phối ransomware WannaCry và Petya, một lỗ hổng cho phép thực thi mã tùy ý trên máy chủ. Trên một trong các nút dễ bị tấn công có một phiên quản trị tên miền - “khai thác và lấy nó”. Bạn có thể làm gì, thời gian đã không dạy cho tất cả mọi người.
"Con chó của Basterville"
Những kinh điển về bảo mật thông tin muốn nhắc lại rằng điểm yếu nhất của bất kỳ hệ thống nào chính là con người. Bạn để ý dòng tiêu đề trên không khớp với tên cửa hàng? Có lẽ không phải ai cũng chú ý như vậy.
Theo truyền thống tốt nhất về các bộ phim bom tấn lừa đảo, Tom Hunter đã đăng ký một miền khác với miền “Chó săn của Baskervilles” chỉ một chữ cái. Địa chỉ gửi thư trên miền này bắt chước địa chỉ dịch vụ bảo mật thông tin của cửa hàng. Trong suốt 4 ngày từ 16:00 đến 17:00, bức thư sau đã được gửi thống nhất đến 360 địa chỉ từ một địa chỉ giả:
Có lẽ chỉ có sự lười biếng của chính họ mới cứu được nhân viên khỏi vụ rò rỉ mật khẩu hàng loạt. Trong số 360 lá thư, chỉ có 61 lá thư được mở - dịch vụ bảo mật không phổ biến lắm. Nhưng sau đó thì dễ dàng hơn.
Trang lừa đảo
46 người đã nhấp vào liên kết và gần một nửa - 21 nhân viên - không nhìn vào thanh địa chỉ và bình tĩnh nhập thông tin đăng nhập và mật khẩu của họ. Bắt tốt lắm, Tom.
Mạng wifi
Bây giờ không cần phải trông cậy vào sự giúp đỡ của con mèo nữa. Tom Hunter ném vài mảnh sắt vào chiếc ô tô cũ của mình và đi đến văn phòng của Chó săn nhà Baskervilles. Chuyến thăm của anh ấy không được đồng ý: Tom đang đi kiểm tra Wi-Fi của khách hàng. Trong bãi đậu xe của trung tâm thương mại có một số không gian trống được đưa vào chu vi của mạng mục tiêu một cách thuận tiện. Rõ ràng, họ không nghĩ nhiều về hạn chế của nó - như thể các quản trị viên đang ngẫu nhiên đưa ra các điểm bổ sung để đáp lại bất kỳ khiếu nại nào về Wi-Fi yếu.
Bảo mật WPA/WPA2 PSK hoạt động như thế nào? Mã hóa giữa điểm truy cập và máy khách được cung cấp bằng khóa trước phiên - Khóa tạm thời theo cặp (PTK). PTK sử dụng Khóa chia sẻ trước và năm tham số khác - SSID, Thông báo xác thực (ANounce), Thông báo bổ sung (SNounce), điểm truy cập và địa chỉ MAC của máy khách. Tom đã chặn tất cả năm tham số và giờ chỉ còn thiếu Khóa chia sẻ trước.
Tiện ích Hashcat đã tải xuống liên kết bị thiếu này trong khoảng 50 phút - và anh hùng của chúng tôi đã kết thúc trong mạng khách. Từ đó bạn có thể thấy mật khẩu đang hoạt động - thật kỳ lạ, ở đây Tom đã quản lý được mật khẩu trong khoảng chín phút. Và tất cả điều này mà không cần rời khỏi bãi đậu xe, không cần bất kỳ VPN nào. Mạng lưới làm việc đã mở ra cơ hội cho các hoạt động quái dị cho anh hùng của chúng ta, nhưng anh ấy... chưa bao giờ thêm tiền thưởng vào thẻ cửa hàng.
Tom dừng lại, nhìn đồng hồ, ném vài tờ tiền lên bàn và chào tạm biệt, rời quán cà phê. Có lẽ đó lại là một cuộc pentest, hoặc có thể nó đang ở trong Tôi đã nghĩ tới việc viết...
Nguồn: www.habr.com