對於任何大公司來說,延遲簽署都是很常見的。 Tom Hunter 與一家連鎖寵物店之間達成的徹底滲透測試協議也不例外。 我們必須檢查網站、內部網絡,甚至是可用的 Wi-Fi。
一切手續還沒辦完,我的手就癢了,這並不奇怪。 好吧,掃描一下網站以防萬一,像“巴斯克維爾獵犬”這樣的知名商店不太可能在這裡出錯。 幾天后,湯姆終於收到了簽署的原始合約——此時,喝完第三杯咖啡,內部CMS的湯姆饒有興趣地評估了倉庫的狀況…
來源:
但在 CMS 中無法進行太多管理 - 網站管理員禁止了 Tom Hunter 的 IP。 雖然你可以有時間在商店卡上賺取獎金,並以便宜的價格餵養你心愛的貓好幾個月……“這次不行,達斯·西迪厄斯,”湯姆微笑著想。 從網站區域到客戶的本地網路也同樣有趣,但顯然這些部分並未為客戶連接。 儘管如此,這種情況在非常大的公司中更常見。
辦理完所有手續後,Tom Hunter 使用提供的 VPN 帳戶來武裝自己,然後訪問客戶的本地網路。 該帳戶位於 Active Directory 網域內,因此無需任何特殊技巧即可轉儲 AD - 耗盡有關使用者和工作電腦的所有公開可用資訊。
Tom 啟動了 adfind 公用程式並開始向網域控制站發送 LDAP 請求。 使用 objectСategory 類別上的篩選器,將 person 指定為屬性。 傳回的響應具有以下結構:
dn:CN=Гость,CN=Users,DC=domain,DC=local
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>cn: Гость
>description: Встроенная учетная запись для доступа гостей к компьютеру или домену
>distinguishedName: CN=Гость,CN=Users,DC=domain,DC=local
>instanceType: 4
>whenCreated: 20120228104456.0Z
>whenChanged: 20120228104456.0Z除此之外,還有很多有用的信息,但最有趣的是 >description: >description 欄位。 這是對帳戶的評論 - 基本上是一個方便保存小筆記的地方。 但客戶的管理員認為密碼也可以靜靜地放在那裡。 畢竟,誰會對所有這些無關緊要的官方記錄感興趣呢? 湯姆收到的評論是:
Создал Администратор, 2018.11.16 7po!*Vqn您不需要成為火箭科學家才能理解為什麼最後的組合是有用的。 剩下的就是使用 >description 欄位解析 CD 上的大型回應檔案:這裡是 - 20 個登入密碼對。 此外,幾乎一半擁有 RDP 存取權限。 橋頭堡不錯,是時候分散進攻力量了。
網路
巴斯克維爾獵犬舞會的無障礙設施讓人想起大城市的混亂和不可預測性。 憑藉用戶和 RDP 個人資料,湯姆·亨特 (Tom Hunter) 在這座城市裡是個破產男孩,但即使是他也能透過安全策略的閃亮窗口看到很多東西。
部分文件伺服器、會計帳戶,甚至與之相關的腳本都被公開。 在這些腳本之一的設定中,Tom 找到了一個使用者的 MS SQL 雜湊值。 一點暴力魔法 - 用戶的哈希變成了純文字密碼。 感謝開膛手約翰和 Hashcat。
這把鑰匙應該適合一些胸部。 箱子被發現了,而且還有十個與之相關的「箱子」。 而裡面的六層...超級使用者權限,nt權限系統! 在其中兩個上,我們能夠運行 xp_cmdshell 預存程序並向 Windows 發送 cmd 命令。 你還能想要什麼?
網域控制器
湯姆亨特為網域控制器準備了第二次打擊。 根據地理上遠端伺服器的數量,「巴斯克維爾的狗」網路中共有三台伺服器。 每個網域控制站都有一個公共資料夾,就像商店裡打開的展示櫃一樣,同一個可憐的男孩湯姆就在它附近閒逛。
這次這個傢伙又很幸運 - 他們忘記從展示櫃中刪除腳本,其中本地伺服器管理員密碼是硬編碼的。 因此,到網域控制器的路徑是開放的。 進來吧,湯姆!
這裡從魔法帽中被拉出來 ,他從幾個網域管理員那裡獲利。 湯姆·亨特(Tom Hunter)獲得了本地網路上所有機器的訪問權限,惡魔般的笑聲嚇壞了旁邊椅子上的貓。 這條路線比預期的短。
EternalBlue
WannaCry 和 Petya 的記憶仍然存在於滲透測試人員的腦海中,但一些管理員似乎在其他晚間新聞中忘記了勒索軟體。 Tom 發現了 SMB 協定中存在漏洞的三個節點 - CVE-2017-0144 或 EternalBlue。 該漏洞與用於分發 WannaCry 和 Petya 勒索軟體的漏洞相同,該漏洞允許在主機上執行任意程式碼。 在其中一個易受攻擊的節點上有一個網域管理會話 - “利用並獲取它”。 你能做什麼,時間並沒有教導所有人。
《巴斯特維爾的狗》
資訊安全的經典著作喜歡重複這樣的說法:任何系統的最弱點都是人。 注意到上面的標題與商店名稱不符嗎? 也許不是每個人都這麼細心。
按照網路釣魚大片的最佳傳統,湯姆·亨特註冊了一個與「巴斯克維爾獵犬」網域僅一個字母不同的網域。 該網域上的郵寄地址模仿了商店資訊安全服務的地址。 在4:16至00:17的00天時間裡,以下信件從一個虛假地址統一發送到360個地址:
或許,只有他們自己的懶惰才讓員工免於密碼大規模外洩。 360 封信件中,只有 61 封被打開——安全服務並不是很受歡迎。 但隨後就容易了。
釣魚頁面
46 人點擊了該鏈接,幾乎一半(21 名員工)沒有看地址欄,而是平靜地輸入了他們的登入名稱和密碼。 不錯的收穫,湯姆。
無線網絡
現在不需要指望貓的幫助了。 湯姆·亨特把幾塊鐵扔進他的舊轎車裡,然後去了巴斯克維爾獵犬的辦公室。 他的來訪並未得到同意:湯姆要測試客戶的 Wi-Fi。 商務中心的停車場有幾個空閒車位,可以輕鬆納入目標網路的周邊。 顯然,他們並沒有考慮太多它的局限性——就好像管理員隨機地加點額外的點來回應任何關於 Wi-Fi 信號弱的投訴。
WPA/WPA2 PSK 安全如何運作? 存取點和用戶端之間的加密由會話前金鑰 - 成對瞬態金鑰 (PTK) 提供。 PTK 使用預先共用金鑰和其他五個參數 - SSID、驗證器 Nounce (ANounce)、請求者 Nounce (SNounce)、存取點和用戶端 MAC 位址。 Tom 攔截了所有五個參數,現在只剩下預共享密鑰了。
Hashcat 實用程式在大約 50 分鐘內下載了這個缺少的連結 - 我們的英雄最終進入了訪客網路。 從上面你已經可以看到有效的密碼了 - 奇怪的是,湯姆在這裡大約九分鐘內就管理好了密碼。 而這一切無需離開停車場,無需任何 VPN。 工作網絡為我們的英雄提供了可怕活動的空間,但他…從未在商店卡上添加獎金。
湯姆停了下來,看了看手錶,把幾張鈔票扔到桌子上,然後告別,離開了咖啡館。 也許又是一次滲透測試,也許是在 我想到了寫作...
來源: www.habr.com