对于任何大公司来说,延迟签署都是很常见的。 Tom Hunter 与一家连锁宠物店之间达成的彻底渗透测试协议也不例外。 我们必须检查网站、内部网络,甚至是可用的 Wi-Fi。
一切手续还没办完,我的手就痒了,这并不奇怪。 好吧,扫描一下网站以防万一,像“巴斯克维尔猎犬”这样的知名商店不太可能在这里出错。 几天后,汤姆终于收到了签署的原始合同——此时,喝完第三杯咖啡,内部CMS的汤姆饶有兴趣地评估了仓库的状况……
来源:
但在 CMS 中无法进行太多管理 - 站点管理员禁止了 Tom Hunter 的 IP。 虽然你可以有时间在商店卡上赚取奖金,并以便宜的价格喂养你心爱的猫好几个月……“这次不行,达斯·西迪厄斯,”汤姆微笑着想。 从网站区域到客户的本地网络也同样有趣,但显然这些部分并未为客户连接。 尽管如此,这种情况在非常大的公司中更常见。
办理完所有手续后,Tom Hunter 使用提供的 VPN 帐户武装自己,然后访问客户的本地网络。 该帐户位于 Active Directory 域内,因此无需任何特殊技巧即可转储 AD - 耗尽有关用户和工作计算机的所有公开可用信息。
Tom 启动了 adfind 实用程序并开始向域控制器发送 LDAP 请求。 使用 objectСategory 类上的过滤器,将 person 指定为属性。 返回的响应具有以下结构:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0Z除此之外,还有很多有用的信息,但最有趣的是 >description: >description 字段。 这是对帐户的评论 - 基本上是一个方便保存小笔记的地方。 但客户的管理员认为密码也可以静静地放在那里。 毕竟,谁会对所有这些无关紧要的官方记录感兴趣呢? 汤姆收到的评论是:
Создал Администратор, 2018.11.16 7po!*Vqn您不需要成为火箭科学家才能理解为什么最后的组合是有用的。 剩下的就是使用 >description 字段解析 CD 上的大型响应文件:这里是 - 20 个登录密码对。 此外,几乎一半拥有 RDP 访问权限。 桥头堡不错,是时候分散进攻力量了。
网络
巴斯克维尔猎犬舞会的无障碍设施让人想起一座大城市的混乱和不可预测性。 凭借用户和 RDP 配置文件,汤姆·亨特 (Tom Hunter) 在这座城市里是个破产男孩,但即使是他也能通过安全策略的闪亮窗口看到很多东西。
部分文件服务器、会计帐户,甚至与之相关的脚本都被公开。 在这些脚本之一的设置中,Tom 找到了一名用户的 MS SQL 哈希值。 一点暴力魔法 - 用户的哈希变成了纯文本密码。 感谢开膛手约翰和 Hashcat。
这把钥匙应该适合一些胸部。 箱子被发现了,而且还有十个与之相关的“箱子”。 而里面的六层...超级用户权限,nt权限系统! 在其中两个上,我们能够运行 xp_cmdshell 存储过程并向 Windows 发送 cmd 命令。 你还能想要什么?
域控制器
汤姆亨特为域控制器准备了第二次打击。 根据地理上远程服务器的数量,“巴斯克维尔的狗”网络中共有三台服务器。 每个域控制器都有一个公共文件夹,就像商店里打开的展示柜一样,同一个可怜的男孩汤姆就在它附近闲逛。
这次,这个家伙又很幸运 - 他们忘记从展示柜中删除脚本,其中本地服务器管理员密码是硬编码的。 因此,到域控制器的路径是开放的。 进来吧,汤姆!
这里从魔法帽中被拉出来 ,他从几个域管理员那里获利。 汤姆·亨特(Tom Hunter)获得了本地网络上所有机器的访问权限,恶魔般的笑声吓坏了旁边椅子上的猫。 这条路线比预期的要短。
EternalBlue
WannaCry 和 Petya 的记忆仍然存在于渗透测试人员的脑海中,但一些管理员似乎在其他晚间新闻中忘记了勒索软件。 Tom 发现了 SMB 协议中存在漏洞的三个节点 - CVE-2017-0144 或 EternalBlue。 该漏洞与用于分发 WannaCry 和 Petya 勒索软件的漏洞相同,该漏洞允许在主机上执行任意代码。 在其中一个易受攻击的节点上有一个域管理会话 - “利用并获取它”。 你能做什么,时间并没有教会所有人。
《巴斯特维尔的狗》
信息安全的经典著作喜欢重复这样的说法:任何系统的最弱点都是人。 注意到上面的标题与商店名称不匹配吗? 也许不是每个人都这么细心。
按照网络钓鱼大片的最佳传统,汤姆·亨特注册了一个与“巴斯克维尔猎犬”域名仅一个字母不同的域名。 该域上的邮寄地址模仿了商店信息安全服务的地址。 在4:16至00:17的00天时间里,以下信件从一个虚假地址统一发送到360个地址:
或许,只有他们自己的懒惰才让员工免于密码大规模泄露。 360 封信件中,只有 61 封被打开——安全服务并不是很受欢迎。 但随后就容易了。
钓鱼页面
46 人点击了该链接,几乎一半(21 名员工)没有看地址栏,而是平静地输入了他们的登录名和密码。 不错的收获,汤姆。
无线网络
现在不需要指望猫的帮助了。 汤姆·亨特把几块铁扔进他的旧轿车里,然后去了巴斯克维尔猎犬的办公室。 他的来访并未得到同意:汤姆要测试客户的 Wi-Fi。 商务中心的停车场有几个空闲车位,可以方便地纳入目标网络的周边。 显然,他们并没有考虑太多它的局限性——就好像管理员随机地加点额外的点来回应任何关于 Wi-Fi 信号弱的投诉。
WPA/WPA2 PSK 安全如何工作? 接入点和客户端之间的加密由会话前密钥 - 成对瞬态密钥 (PTK) 提供。 PTK 使用预共享密钥和其他五个参数 - SSID、验证器 Nounce (ANounce)、请求者 Nounce (SNounce)、接入点和客户端 MAC 地址。 Tom 拦截了所有五个参数,现在只剩下预共享密钥了。
Hashcat 实用程序在大约 50 分钟内下载了这个缺失的链接 - 我们的英雄最终进入了访客网络。 从上面你已经可以看到有效的密码了 - 奇怪的是,汤姆在这里大约九分钟内就管理好了密码。 而这一切无需离开停车场,无需任何 VPN。 工作网络为我们的英雄提供了进行可怕活动的空间,但他……从未在商店卡上添加奖金。
汤姆停了下来,看了看手表,把几张钞票扔到桌子上,然后告别,离开了咖啡馆。 也许又是一次渗透测试,或者也许是在 我想到了写...
来源: habr.com