Get best of the week

مرة واحدة في pentest ، أو كيفية كسر كل شيء بمساعدة طبيب المسالك البولية و Roskomnadzor


هذه المقالة مبنية على مكانة ناجحة للغاية ، تم إجراؤها من قبل متخصصي Group-IB قبل عامين: حدث قصة تدعي أنها تكيف فيلم في بوليوود. الآن ، على الأرجح ، سيتبع رد فعل القارئ: "أوه ، مقالة أخرى للعلاقات العامة ، مرة أخرى يتم رسمها ، كم هي جيدة ، لا تنس شراء شراء مكبوت." حسنا ، من ناحية ، هو كذلك. ومع ذلك ، هناك عدد من الأسباب لظهور هذه المقالة. أردت أن أبين ما الذي يفعله المتخلفون بالضبط ، وكيف يمكن أن يكون هذا العمل مثيرًا للاهتمام وغير تافهًا ، وما هي الظروف المسلية التي يمكن أن تتطور في المشاريع ، والأهم من ذلك ، لعرض المواد الحية بأمثلة حقيقية.

لاستعادة توازن التواضع في العالم ، بعد فترة من الوقت سنكتب عن الأعلى الذي لم يذهب. نوضح كيف يمكن للعمليات الراسخة في الشركة أن تحمي ضد مجموعة كاملة من الهجمات ، حتى تلك التي تم إعدادها جيدًا ، ببساطة لأن هذه العمليات موجودة وتعمل حقًا.

العميل من هذه المقالة أيضًا ، كان كل شيء على ما يرام بشكل عام ، على الأقل أفضل من 95 ٪ من السوق في الاتحاد الروسي ، وفقًا لمشاعرنا ، ولكن كان هناك عدد من الفروق الدقيقة البسيطة التي شكلت سلسلة طويلة من الأحداث ، مما أدى أولاً إلى تقرير طويل عن العمل ثم إلى هذه المقالة.

لذا ، قم بتخزين الفشار ، ومرحبًا بك في المخبر. أعطي الكلمة إلى بافيل سوبرونيوك ، المدير الفني لمجموعة التدقيق والاستشارات- IB.

الجزء 1. طبيب Pochkin


2018 سنة. هناك زبون - شركة تكنولوجيا معلوماتية عالية التقنية ، والتي تخدم نفسها العديد من العملاء. يريد الحصول على إجابة للسؤال: هل من الممكن ، دون أي معرفة ووصول أوليين ، العمل عبر الإنترنت ، الحصول على حقوق المسؤول لنطاق Active Directory؟ لا توجد هندسة اجتماعية ذات أهمية ( إيه ، ولكن عبثا ) ، فلن يتدخلوا على وجه التحديد في العمل ، ولكن يمكنهم عن طريق الخطأ إعادة تحميل خادم عمل غريب ، على سبيل المثال. مهمة إضافية هي تحديد أكبر عدد ممكن من ناقلات الهجوم الأخرى فيما يتعلق بالمحيط الخارجي. تجري الشركة بانتظام مثل هذه الاختبارات ، والآن الموعد النهائي لإجراء اختبار جديد. الظروف شبه نموذجية وكافية ومفهومة. يهبط.

هناك اسم العميل - فليكن "الشركة" ، مع الموقع الرئيسي www.company.ru. بالطبع ، يتم استدعاء العميل بشكل مختلف ، ولكن في هذه المقالة سيتم نزع شخصية كل شيء.
أجري استخبارات الشبكة - أجد العناوين والنطاقات التي يدرجها العميل ، أرسم مخططًا للشبكة ، وكيفية توزيع الخدمات على هذه العناوين. أحصل على النتيجة: أكثر من 4000 عنوان IP مباشر. ألقي نظرة على المجالات في هذه الشبكات: لحسن الحظ ، فإن الغالبية العظمى من الشبكات مخصصة لعملاء العملاء ، ولا تهمهم رسميًا. يعتقد العميل نفسه.

لا تزال هناك شبكة واحدة تحتوي على 256 عنوانًا ، وبحلول هذه اللحظة يكون هناك بالفعل فهم لتوزيع المجالات والنطاقات الفرعية حسب عناوين IP ، وهناك معلومات حول المنافذ الممسوحة ضوئيًا ، مما يعني أنه يمكنك إلقاء نظرة على الخدمات للحصول على خدمات مثيرة للاهتمام بعينيك. بالتوازي ، يتم إطلاق جميع أنواع الماسحات الضوئية على عناوين IP التي يمكن الوصول إليها وبشكل منفصل - على مواقع الويب.

هناك الكثير من الخدمات. هذا عادة ما يكون فرحة للبنتستر وتوقع انتصار سريع ، حيث أنه كلما زادت الخدمات ، زاد مجال الهجوم وأسهل في العثور على قطعة أثرية. أظهرت نظرة سريعة على مواقع الويب أن معظمها عبارة عن واجهات ويب لمنتجات معروفة من شركات عالمية كبيرة تقول إنها غير راضية عنك. يطلبون اسم مستخدم وكلمة مرور ، من العتبة التي يهزونها الحقل لإدخال العامل الثاني ، يطلبون شهادة عميل TLS أو يرسلونها بعيدًا إلى Microsoft ADFS. بعضها ببساطة غير متوفر من الإنترنت. بالنسبة للبعض ، من الواضح أنك بحاجة إلى عميل خاص مدفوع الأجر لثلاثة رواتب أو معرفة عنوان URL الدقيق للدخول. سنحذف أسبوعًا آخر من الإحباط التدريجي في محاولة "اختراق" البرنامج وفقًا لإصدارات الثغرات المعروفة ، والبحث عن المحتوى المخفي في مسارات الويب والحسابات المسربة من خدمات الطرف الثالث مثل LinkedIn ،محاولات لتحديد كلمات المرور لها ، بالإضافة إلى استكشاف نقاط الضعف في مواقع الويب الموصوفة ذاتيًا - بالمناسبة ، وفقًا للإحصاءات ، هذا هو أكثر ناقلات واعدة لهجوم خارجي حتى الآن. على الفور ألاحظ مسدس السينما ، الذي أطلق بعد ذلك.

لذلك ، كان هناك موقعان متميزان عن مئات الخدمات. تشترك هذه المواقع في شيء واحد: إذا لم تنخرط في استطلاع دقيق للشبكة حسب المجال ، ولكن ابحث "على الجبهة" عن المنافذ المفتوحة أو تسمم ماسح الثغرات الأمنية عبر نطاق IP معروف ، فإن هذه المواقع ستختفي من التحقق ، ولن تكون مرئية ببساطة دون معرفة اسم DNS. ربما تم تفويتها سابقًا ، على الأقل ، ولم تجد أدواتنا التلقائية مشاكل فيها ، حتى لو تم تعيينها مباشرة على المورد.

بالمناسبة ، عن حقيقة أن الماسحات الضوئية التي تم إطلاقها سابقًا تم العثور عليها بشكل عام. دعني أذكرك: بالنسبة لبعض الأشخاص ، فإن "pentest" هو بمثابة "مسح آلي". ولم تذكر الماسحات الضوئية في هذا المشروع أي شيء. حسنًا ، أظهرت الثغرات المتوسطة الحد الأقصى (3 من 5 من حيث الخطر): بعض الخدمات لديها شهادة TLS سيئة أو خوارزميات تشفير قديمة ، ومعظم المواقع بها Clickjacking. ولكن في هذا لن تصل إلى الهدف. ربما تكون الماسحات الضوئية أكثر فائدة هنا ، ولكن دعني أذكرك: العميل نفسه قادر على شراء مثل هذه البرامج واختبار نفسه معها ، وبالحكم على النتائج الباهتة ، فقد قام بفحصها بالفعل.

العودة إلى مواقع "الشاذة". الأول هو شيء مثل ويكي محلي في عنوان غير قياسي ، ولكن دع wiki.company [.] رو يكون في هذه المقالة. كما طلبت على الفور اسم مستخدم وكلمة مرور ، ولكن بالفعل من خلال NTLM في المتصفح. بالنسبة للمستخدم ، تبدو هذه نافذة زاحفة تطلب اسم مستخدم وكلمة مرور. وهذه ممارسة سيئة.

. NTLM - . — Active Directory. company.ru, «» DNS-. , - , , - . — NTLM (, ?), «» , . , . — , . — . — , , . — pass-the-hash-. ADFS .

هناك ميزة سيئة واحدة لمنتجات Microsoft: حتى لو لم تكن قد نشرت هذه NTLM على وجه التحديد ، فستكون في التثبيت الافتراضي في OWA و Lync ، على الأقل.

بالمناسبة ، مؤلف هذه المقالة مرة واحدة بنفس الطريقة قام عن طريق الخطأ بحظر ما يقرب من 1000 حساب لموظفي بنك كبير واحد في ساعة واحدة فقط ، ثم كان له مظهر شاحب إلى حد ما. كانت خدمات تكنولوجيا المعلومات بالبنك شاحبة أيضًا ، ولكن كل شيء انتهى بشكل جيد وعلى نحو كاف ، وقد تم الإشادة بأننا كنا أول من اكتشف هذه المشكلة وأثار تصحيحا سريعا وحاسما.
كان للموقع الثاني عنوان "من الواضح أن بعضًا آخر name.company.ru". وجدت من خلال Google ، شيء من هذا القبيل في الصفحة 10. يبدأ التصميم حتى منتصف عام 2000 ، ونظر شخص محترم من الصفحة الرئيسية ، شيء من هذا القبيل:


ثم أخذ إطارًا من "قلب الكلب" ، ولكن صدقوني ، كان مشابهًا عن بُعد ، حتى مخطط الألوان بألوان متشابهة. دع الموقع يسمى preobrazhensky.company.ru .

كان موقعًا شخصيًا ... لطبيب المسالك البولية. أصبح من المثير للاهتمام ما يفعله موقع طبيب المسالك البولية في النطاق الفرعي لشركة التكنولوجيا الفائقة. أظهر البحث السريع في Google أن هذا الطبيب كان أحد مؤسسي أحد الكيانات القانونية لعملائنا وحتى ساهم بحوالي 1000 روبل من رأس المال المسجل. ربما تم إنشاء الموقع منذ سنوات عديدة ، واستخدمت موارد خادم العميل للاستضافة. لقد فقد الموقع ملاءمته لفترة طويلة ، ولكن لسبب ما ترك العمل لفترة طويلة.

من حيث نقاط الضعف ، كان الموقع نفسه آمنًا. بالنظر إلى المستقبل ، سأقول أنها كانت مجموعة من الإحصاءات - صفحات html بسيطة تحتوي على إدخالات توضيحية على شكل كليتين ومثانة. "كسر" مثل هذا الموقع لا طائل منه.

لكن خادم الويب تحته كان أكثر إثارة للاهتمام. استنادًا إلى رأس HTTP Server ، كان هناك IIS 6.0 ، مما يعني أنه تم استخدام Windows 2003 كنظام تشغيل. كشف الماسح الضوئي سابقًا أن هذا الموقع الخاص بطبيب المسالك البولية ، على عكس المضيفين الظاهريين الآخرين على نفس خادم الويب ، استجاب لأمر PROPFIND ، أي أن WebDAV عمل هناك. بالمناسبة ، أصدر الماسح الضوئي هذه المعلومات بعلامة المعلومات (في لغة تقارير الماسح الضوئي هذا هو أدنى خطر) - عادة ما يتم تخطي هذه الأشياء ببساطة. في تركيبة ، أعطى هذا تأثيرًا مثيرًا للاهتمام ، والذي تم الكشف عنه فقط بعد حفر آخر في Google: ضعف نادر في تجاوز سعة المخزن المؤقت المرتبط بمجموعة Shadow Brokers ، وهي CVE-2017-7269 ، التي كان لديها بالفعل استغلال جاهز. بمعنى آخر ، ستكون كارثة إذا كان لديك Windows 2003 و WebDAV يعمل على IIS.على الرغم من العمل في إنتاج Windows 2003 في 2018 ، إلا أن هذا بحد ذاته كارثة.

انتهى الاستغلال في Metasploit وتم اختباره على الفور مع حمولة أرسلت استعلام DNS إلى خدمة خاضعة للتحكم - يتم استخدام Burp Collaborator بشكل تقليدي لجذب استعلامات DNS. والمثير للدهشة أنه عمل في المرة الأولى: تم تلقي رعشة في DNS. ثم كانت هناك محاولة لإنشاء اتصال خلفي من خلال المنفذ 80 (أي اتصال شبكة من الخادم إلى المهاجم ، مع الوصول إلى cmd.exe على مضيف الضحية) ، ولكن حدث الفشل الذريع. لم يأت الاتصال ، وبعد محاولة العملية الثالثة ، اختفى الموقع ، إلى جانب جميع الصور المسلية ، إلى الأبد.

وعادة ما يعقب ذلك رسالة بأسلوب "أيها العميل ، استيقظ ، لقد أسقطنا كل شيء". ولكن قيل لنا أن الموقع لا علاقة له بالعمليات التجارية ويعمل هناك بشكل عام ، ليس من الواضح لماذا ، مثل الخادم بأكمله ، وأنه يمكننا استخدام هذا المورد كما يحلو لنا.
بعد حوالي يوم ، بدأ الموقع فجأة في العمل من تلقاء نفسه. بعد إنشاء حامل من WebDAV على IIS 6.0 ، وجدت أن الإعداد الافتراضي هو إعادة تشغيل سير عمل IIS كل 30 ساعة. أي ، عندما خرج عنصر التحكم من رمز shell ، انتهى سير عمل IIS ، ثم أعاد تشغيله عدة مرات ثم ذهب للراحة لمدة 30 ساعة.

منذ المرة الأولى التي فشل فيها bekconnect على tcp ، قمت بإلغاء هذه المشكلة إلى منفذ مغلق. أي أنه اقترح وجود بعض جدار الحماية الذي لم يسمح بالاتصالات الصادرة. لقد بدأت في تشغيل أكواد الصدفة التي يتم فرزها عبر العديد من منافذ TCP و UDP ، ولم يكن هناك أي تأثير. يتم تحميل الاتصال العكسي من خلال http (s) من Metasploit - meterpreter / reverse_http (s). فجأة ، تم تأسيس الاتصال بالمنفذ 80 نفسه ، ولكن انقطع على الفور. كتبه إلى عمل IPS الذي لا يزال متخيلًا ، والذي لا يحب حركة المرور متر. في ضوء حقيقة أن اتصال TCP TCP النقي بالمنفذ 80 فشل ، لكن http فشل ، استنتجت أن وكيل http تم تكوينه بطريقة أو بأخرى في النظام.

حاول متر حتى من خلال DNS (شكراd00kieلجهوده ، أنقذ العديد من المشاريع) ، مذكّرًا بالنجاح الأول ، لكنه لم يعمل حتى في الجناح - كان كود القشرة ضخمًا جدًا بالنسبة لهذه الثغرة.

في الواقع ، بدا الأمر كما يلي: 3-4 محاولات للهجوم في غضون 5 دقائق ، ثم انتظر لمدة 30 ساعة. وهكذا لمدة ثلاثة أسابيع متتالية. حتى أنني قمت بإعداد تذكير حتى لا تضيع الوقت. بالإضافة إلى ذلك ، كان هناك اختلاف في سلوك الاختبار والبيئات القتالية: بالنسبة لهذه الثغرة الأمنية ، كان هناك ثغرتان متشابهتان ، واحدة من Metasploit ، والثانية من الإنترنت ، تم إعادة بنائها من إصدار Shadow Brokers. لذا ، في المعركة فقط عمل Metasploit ، في الموقف - فقط الثاني ، مما زاد من تعقيد التصحيح وكسر الدماغ.

في النهاية ، أثبت كود القشرة أنه فعال ، والذي قام بتنزيل ملف exe من خادم معين عبر http وتشغيله على النظام المستهدف. كان كود القشرة صغيرًا بما يكفي ليلائم ، وعلى الأقل كان يعمل. نظرًا لأن خادم TCP لم يعجبه حركة المرور على الإطلاق وتم فحص http (s) بحثًا عن meterpreter ، فقد قررت أن أسرع طريقة هي تنزيل ملف exe الذي يحتوي على متر - DNS من خلال كود القشرة هذا.

هنا مرة أخرى ظهرت المشكلة: عند تنزيل ملف exe ، وكما أظهرت المحاولات ، بغض النظر عن أي شيء ، توقف التنزيل. مرة أخرى ، نوع من جهاز الحماية بين الخادم الخاص بي وطبيب المسالك البولية لا يحب حركة مرور http مع exe في الداخل. بدا وكأنه حل "سريع" لتغيير كود القشرة بحيث يتسبب في تشويش حركة http على الطاير ، بحيث يتم نقل البيانات الثنائية المجردة بدلاً من exe. أخيراً ، كان الهجوم ناجحاً ، وجاءت السيطرة عبر قناة DNS الرقيقة:


أصبح من الواضح على الفور أن لدي أبسط الحقوق في سير عمل IIS التي تسمح لي بعدم القيام بأي شيء. هذه هي الطريقة التي تبدو بها على وحدة التحكم Metasploit:


تقترح جميع منهجيات pentest بشدة أنك بحاجة إلى زيادة الحقوق عند الوصول. عادةً لا أقوم بذلك محليًا ، نظرًا لأن الوصول الأول يعتبر ببساطة نقطة دخول إلى الشبكة ، وعادة ما يكون اختراق جهاز آخر على نفس الشبكة أسهل وأسرع من زيادة الامتيازات على مضيف موجود. لكن هذا ليس هو الحال ، لأن قناة DNS ضيقة للغاية ولن تسمح لحركة المرور بالتجول.

بافتراض أن هذا الخادم مع Windows 2003 لم يتم إصلاحه من الثغرة الأمنية المعروفة MS17-010 ، فأنا ننقل حركة المرور إلى المنفذ 445 / TCP من خلال نفق DNS للمتر إلى المضيف المحلي (نعم ، هذا ممكن أيضًا) وأحاول تشغيل ملف exe تم تنزيله مسبقًا من خلال الثغرة الأمنية. يعمل الهجوم ، أحصل على اتصال ثان ، ولكن مع امتيازات النظام.


ومن المثير للاهتمام أن الخادم كان لا يزال يحاول الحماية من MS17-010 - فقد عطل خدمات الشبكة الضعيفة على الواجهة الخارجية. هذا يحمي حقًا من الهجمات عبر الشبكة ، لكن الهجوم من داخل المضيف المحلي نجح ، نظرًا لأنه لا يمكنك فقط أخذ SMB وإيقافه بسرعة على المضيف المحلي.
بعد ذلك ، يتم الكشف عن تفاصيل جديدة مثيرة للاهتمام:

  1. امتلاك أذونات النظام ، يمكنك بسهولة تثبيت الاتصال مرة أخرى عبر TCP. من الواضح أن حظر بروتوكول TCP المباشر هو مشكلة محدودة لمستخدم IIS. المفسد: تم التفاف حركة مرور مستخدم IIS بطريقة أو بأخرى في وكيل ISA المحلي في كلا الاتجاهين. كيف بالضبط لا يتم استنساخ هذا العمل.
  2. أنا في "DMZ" معينة (وهذا ليس نطاق Active Directory ، ولكنه WORKGROUP) - يبدو منطقيًا. ولكن بدلاً من عنوان IP الخاص ("الرمادي") المتوقع ، فأنا "أبيض" تمامًا ، تمامًا كما هاجمته سابقًا. وهذا يعني أن الشركة قديمة جدًا لعالم عناوين IPv4 بحيث يمكنها الاحتفاظ بمنطقة DMZ عند 128 عنوانًا "أبيض" بدون NAT وفقًا للمخطط ، كما هو موضح في أدلة Cisco لعام 2005.

نظرًا لأن الخادم قديم ، فإن Mimikatz مضمون للعمل مباشرة من الذاكرة:


أحصل على كلمة مرور المسؤول المحلي ، وأنقل حركة مرور RDP من خلال TCP وأذهب إلى سطح مكتب مريح. نظرًا لأنه يمكنك فعل أي شيء مع الخادم ، أحذف برنامج مكافحة الفيروسات ، وأجد أن الخادم يمكن الوصول إليه من الإنترنت فقط على منفذي TCP 80 و 443 ، وأن 443 لم يكن مشغولاً. أقوم برفع خادم OpenVPN إلى 443 ، وإضافة وظائف NAT لحركة مرور VPN الخاصة بي والحصول على وصول مباشر إلى شبكة DMZ في شكل غير محدود من خلال OpenVPN الخاص بي. من الجدير بالذكر أن ISA ، مع بعض ميزات IPS غير المعطلة ، منعت حركة المرور عن طريق فحص المنافذ ، والتي كان لا بد من استبدالها بـ RRAS أبسط وأكثر مرونة. لذا ، لا يزال على الأخصائيين إدارة كل شيء في بعض الأحيان.


سوف يسأل القارئ اليقظ: "وما هو الموقع الثاني - ويكي بمصادقة NTLM ، والذي كتب عنه الكثير؟" حول ذلك كذلك.

الجزء 2. هل ما زلت لا تشفير؟ ثم نذهب إليكم بالفعل هنا


لذلك ، هناك وصول إلى قطاع شبكة DMZ. تحتاج إلى الذهاب إلى مسؤول المجال. أول ما يتبادر إلى الذهن هو التحقق تلقائيًا من أمان الخدمات داخل قطاع DMZ ، خاصة وأنهم الآن أكثر انفتاحًا للبحث. صورة نموذجية في اختبار الاختراق: المحيط الخارجي محمي بشكل أفضل من الخدمات الداخلية ، وعندما تحصل على أي وصول إلى بنية تحتية كبيرة ، يكون من الأسهل الحصول على حقوق موسعة في المجال فقط لأن هذا النطاق يبدأ في الوصول إليه من خلال الأدوات ، وثانيًا ، هناك دائمًا بضع قضايا حرجة في البنية التحتية لعدة آلاف من المضيفين.

أقوم بتحميل الماسحات الضوئية على DMZ من خلال نفق OpenVPN ، أنتظر. أفتح التقرير - مرة أخرى لا شيء خطير ، على ما يبدو سار شخص بنفس الطريقة لي. الخطوة التالية هي فحص كيفية تواصل المضيفين داخل شبكة DMZ. للقيام بذلك ، بالنسبة للمبتدئين ، يتم إطلاق Wireshark عادي مع الاستماع إلى طلبات البث ، بشكل أساسي ARP. تم جمع حزم ARP طوال اليوم. اتضح أنه يتم استخدام عدة بوابات في هذا المقطع. سيكون هذا مفيدًا لاحقًا. عند لصق البيانات على بيانات استجابة طلب ARP وبيانات مسح المنفذ ، وجدت نقاط الإخراج لحركة المستخدم من داخل الشبكة المحلية بالإضافة إلى تلك الخدمات التي كانت معروفة سابقًا ، مثل الويب والبريد.

نظرًا لأنه لم يكن لدي في الوقت الحالي إمكانية الوصول إلى أنظمة أخرى ولم يكن هناك حساب واحد لخدمات الشركة ، فقد تقرر جلب بعض الحسابات على الأقل من حركة المرور باستخدام ARP Spoofing.

تم إطلاق Cain & Abel على خادم طبيب المسالك البولية. مع الأخذ بعين الاعتبار تدفقات حركة المرور المحددة ، تم اختيار أكثر الأزواج الواعدة لهجوم "الرجل في الوسط" ، ثم عن طريق إطلاق قصير المدى لمدة 5-10 دقائق ، مع مؤقت لإعادة تشغيل الخادم في حالة "التجميد" ، تم استلام بعض حركة مرور الشبكة. كما في النكتة ، كان هناك خبران:

  1. حسن: تم القبض على الكثير من أوراق الاعتماد وعمل الهجوم ككل.
  2. سيئ: كل أوراق الاعتماد كانت من عملاء العميل نفسه. من خلال تقديم خدمات الدعم ، يتصل أخصائيو العملاء بخدمات العملاء التي لم يتم تكوين تشفير حركة المرور لها دائمًا.

ونتيجة لذلك ، حصلت على الكثير من أوراق الاعتماد التي كانت عديمة الفائدة في سياق المشروع ، ولكنها بالتأكيد مثيرة للاهتمام كدليل على خطر وقوع هجوم. أجهزة التوجيه الحدودية للشركات الكبيرة مع telnet ، تصحيح أخطاء منافذ http المعاد توجيهها إلى CRM الداخلي مع جميع البيانات ، والوصول المباشر إلى RDP من Windows XP على الشبكة المحلية وغيرها من الظلامية. اتضح نوعًا من حل وسط سلسلة التوريد وفقًا لمصفوفة MITER .

وجدت أيضًا فرصة ممتعة لجمع رسائل البريد الإلكتروني من حركة المرور ، شيء من هذا القبيل. هذا مثال على رسالة منتهية انتقلت من عملائنا إلى منفذ SMTP الخاص بعميله ، مرة أخرى ، بدون تشفير. يطلب Andrei معين تحمل الاسم نفسه لإعادة إرسال الوثائق ، ويتم وضعه على قرص سحابي باسم مستخدم وكلمة مرور ورابط في رسالة رد واحدة:


هذا تذكير آخر بأنك تحتاج إلى تشفير جميع الخدمات. من غير المعروف من ومتى سيقرأ ويطبق بياناتك على وجه التحديد - مزود ، مسؤول نظام لشركة أخرى ، أو مثل هذا pentester. أنا صامت لأن العديد يمكن ببساطة اعتراض حركة المرور غير المشفرة.

على الرغم من النجاح الواضح ، لم يقترب هذا من الهدف. كان من الممكن ، بالطبع ، الجلوس لفترة طويلة والحصول على معلومات قيمة ، ولكن ليس حقيقة أنها كانت ستظهر هناك ، والهجوم نفسه محفوف بالمخاطر للغاية من حيث سلامة الشبكة.

بعد حفر آخر في الخدمات ، ظهرت في ذهني فكرة مثيرة للاهتمام. هناك أداة مساعدة تسمى Responder (من السهل العثور على أمثلة للتطبيقات بهذا الاسم) ، والتي ، من خلال طلبات البث "التسمم" ، تثير اتصالات عبر مجموعة متنوعة من البروتوكولات مثل SMB ، HTTP ، LDAP ، إلخ. بطرق مختلفة ، يُطلب من كل شخص متصل المصادقة والضبط بحيث تمر المصادقة عبر NTLM وفي وضع شفاف للضحية. في أغلب الأحيان ، يجمع المهاجم مصافحات NetNTLMv2 ومنهم ، وفقًا للقاموس ، يستعيد كلمات مرور نطاق المستخدم بسرعة. أردت شيئًا مشابهًا هنا ، لكن المستخدمين كانوا يجلسون "خلف الجدار" ، أو بالأحرى ، تم فصلهم بواسطة جدار حماية ، وذهبوا عبر WEB عبر مجموعة وكيل المعطف الأزرق.

تذكر ، لقد حددت أن اسم مجال Active Directory تزامن مع المجال "الخارجي" ، أي كان company.ru؟ لذا ، فإن Windows ، بشكل أكثر دقة Internet Explorer (و Edge و Chrome) ، يسمح للمستخدم بالمصادقة بشفافية في HTTP عبر NTLM ، إذا اعتبروا أن الموقع موجود في "منطقة إنترانت". إحدى علامات "إنترانت" هي الاتصال بعنوان IP "رمادي" أو اسم DNS قصير ، أي بدون نقاط. نظرًا لأن خادمًا يحمل عنوان IP "أبيض" و DNS مسبقًا preobrazhensky.company.ru كان تحت تصرفه ، وعادة ما تحصل أجهزة المجال على لاحقة مجال Active Directory عبر DHCP لإدخال اسم مبسط ، كان عليهم فقط كتابة عنوان URL preobrazhensky في شريط العناوينحتى يجدوا المسار الصحيح لخادم المسالك البولية المخترق ، ولا ينسون أنه يسمى الآن "إنترانت". أي أنه في نفس الوقت يعطيني مستخدم مصافحة NTLM دون علمه. يبقى جعل مستعرضات العملاء تفكر في الحاجة الملحة للوصول إلى هذا الخادم.

جاءت الأداة المساعدة الرائعة Intercepter-NG للإنقاذ (شكرًاIntercepter) لقد سمح لك بتغيير حركة المرور أثناء التنقل وعمل بشكل مثالي على Windows 2003. بل كانت هناك وظيفة منفصلة لتعديل ملفات JavaScript فقط في تدفق حركة المرور. تم التخطيط لنوع من البرمجة النصية الضخمة عبر المواقع.

وكلاء المعطف الأزرق الذين تمكنوا من خلالهم من الوصول إلى المحتوى الثابت العالمي WEB المخبأ بشكل دوري. من خلال اعتراض حركة المرور ، كان من الواضح أنها تعمل على مدار الساعة ، وتطلب إلى ما لا نهاية إحصاءات ثابتة الاستخدام لتسريع عرض المحتوى خلال ساعات الذروة. بالإضافة إلى ذلك ، كان لدى BlueCoat وكيل مستخدم محدد ، والذي ميزه بوضوح عن المستخدم الحي.

تم تحضير جافا سكريبت ، الذي قضى بمساعدة Intercepter-NG ليلا ساعة كاملة في تنفيذ كل إجابة باستخدام ملفات JS لـ Blue Coat. قام البرنامج النصي بما يلي:

  • اكتشف المتصفح الحالي بواسطة User-Agent. إذا كان Internet Explorer أو Edge أو Chrome - فقد عمل على.
  • انتظر حتى يتم تكوين DOM للصفحة.
  • لقد أدخلت صورة غير مرئية مع السمة src من نوع preobrazhensky في DOM : 8080 / NNNNNNN.png ، حيث NNN عبارة عن أرقام عشوائية بحيث لا يخزن BlueCoat ذاكرة التخزين المؤقت.
  • قم بتعيين متغير العلم العام الذي تم إجراء الحقن فيه ولم تعد بحاجة إلى إدراج الصور.

حاول المتصفح تحميل هذه الصورة ، على المنفذ 8080 من الخادم المخترق ، كان ينتظر نفق TCP إلى جهاز الكمبيوتر المحمول الخاص بي ، حيث تم إطلاق نفس المستجيب ، والذي يتطلب تسجيل دخول NTLM من المستعرض.


إذا حكمنا من خلال سجلات المستجيب ، في الصباح ، جاء الناس إلى العمل ، وقاموا بتشغيل محطات عملهم ، ثم بدأوا في زيارة خادم طبيب المسالك البولية بشكل جماعي وغير مرئي ، مع عدم نسيان "دمج" مصافحة NTLM. أمطرت مصافحات اليد طوال اليوم وتراكمت المواد بشكل واضح من أجل هجوم استرداد كلمة مرور ناجح. هذا هو شكل سجلات المستجيب:

زيارات سرية مكثفة لخادم طبيب المسالك البولية من قبل المستخدمين

ربما لاحظت بالفعل أن هذه القصة بأكملها مبنية على مبدأ "كل شيء كان على ما يرام ، ولكن كان هناك مشاجرة ، ثم كان هناك التغلب ، ثم جاء كل شيء إلى النجاح". لذلك ، كان هناك المشكله. من بين خمسمائة مصافحة فريدة لم يتم الكشف عن أي منها. ويأخذ هذا في الاعتبار حقيقة أنه حتى على جهاز كمبيوتر محمول بمعالج ميت ، فإن مصافحات NTLMv2 تتخطى سرعة مئات الملايين من المحاولات في الثانية.

اضطررت إلى تسليح نفسي بتقنيات تحويل كلمة المرور ، وبطاقة رسومات ، وقاموس أكثر سمكًا ، وانتظر. بعد فترة طويلة ، تم فتح العديد من الحسابات التي تحتوي على كلمات مرور من النموذج "Q11111111 ... .1111111q" ، مما يشير إلى أن جميع المستخدمين قد أجبروا ذات مرة على ابتكار كلمة مرور طويلة جدًا مع حالة مختلفة من الأحرف ، والتي كان من المفترض أن تكون معقدة. ولكن لا يمكنك فقط أن تفشل مستخدم مخضرم ، وبهذه الطريقة جعل من السهل تذكره. في المجموع ، تم فتح حوالي 5 قطع ، وواحدة فقط منها لديها أي حقوق قيمة في الخدمات.

الجزء 3. ضربات Roskomnadzor مرة أخرى


لذلك ، تم تلقي حسابات المجال الأولى. إذا لم تنم في هذه المرحلة من قراءة طويلة ، فستتذكر على الأرجح أنني ذكرت خدمة لم تتطلب عامل مصادقة ثانٍ: هذا ويكي مع مصادقة NTLM. بالطبع ، كان أول شيء فعلوه هو الدخول. أدى البحث في قاعدة المعارف الداخلية إلى تحقيق النتائج بسرعة:

  • تمتلك الشركة شبكة WiFi مع مصادقة حساب المجال مع الوصول إلى شبكة محلية. مع مجموعة البيانات الحالية ، يعد هذا بالفعل متجهًا للهجوم ، ولكن عليك الذهاب إلى المكتب بقدميك ووضع نفسك في مكان ما في مكتب العميل.
  • , , … « » , . «» «» . , DMZ.

بالطبع ، تمت إضافة "العامل الثاني" على الفور إلى الحساب المخترق كتطبيق على هاتفي. كان هناك برنامج يمكنه إما إرسال طلب دفع إلى الهاتف بصوت عالٍ باستخدام أزرار "الموافقة" / "الرفض" ، أو إظهار رمز OTP بصمت على الشاشة لمزيد من الإدخال المستقل. علاوة على ذلك ، كان من المفترض أن تكون الطريقة الأولى هي التعليمات الصحيحة الوحيدة ، لكنها لم تنجح ، على عكس طريقة OTP.

باستخدام "العامل الثاني" المكسور ، تمكنت من تسجيل الدخول إلى بريد Outlook Web Access والوصول عن بُعد إلى Citrix Netscaler Gateway. في Outlook ، كانت هناك مفاجأة في البريد:


في هذه اللقطة النادرة ، يمكنك أن ترى كيف تساعد Roskomnadzor المتدخلين.

كانت هذه هي الأشهر الأولى بعد قفل مروحة Telegram الشهير ، عندما اختفت شبكات كاملة تحتوي على آلاف العناوين بشكل لا مفر منه من الوصول. أصبح من الواضح لماذا لم تنجح عملية الدفع على الفور ولماذا لم تسمع "ضحيتي" المنبه لأنهم بدأوا في استخدام حسابها في ساعات العمل المفتوحة.

يتخيل أولئك الذين هم على دراية بـ Citrix Netscaler أنه يتم تنفيذه عادةً بطريقة تجعل من الممكن أن تنقل للمستخدم واجهة صورة فقط ، محاولًا عدم منحه الأدوات اللازمة لتشغيل تطبيقات الطرف الثالث ونقل البيانات ، في كل طريقة ممكنة تقييد الإجراءات من خلال قذائف التحكم القياسية. حسب مهنتي ، حصلت على 1C فقط:


بعد أن مشيت قليلاً على واجهة 1C ، وجدت أن هناك وحدات معالجة خارجية هناك. يمكن تحميلها من الواجهة ، وسيتم تنفيذها على العميل أو الخادم ، اعتمادًا على الحقوق والإعدادات.

طلبت من مبرمجي أصدقاء 1C إنشاء مثل هذه المعالجة التي ستأخذ سلسلة وتنفيذها. في 1C ، يبدو إطلاق العملية شيئًا مثل هذا (مأخوذ من الإنترنت). أوافق ، بناء جملة لغة 1C يضرب شخصًا ناطقًا بالروسية بفوريته؟



تم تنفيذ المعالجة بشكل مثالي ، وتبين ما يطلق عليه Pentesters “shell” - تم إطلاق Internet Explorer من خلاله.


في وقت سابق ، تم العثور على عنوان النظام في البريد ، مما يسمح لك بطلب بطاقات المرور إلى المنطقة. لقد أمرت بتمرير في حالة اضطررت إلى استخدام ناقلات الهجوم عبر WiFi.


على الإنترنت ، يقولون أنه في مكتب العميل كان لا يزال هناك خدمة طعام لذيذة مجانية ، لكنني ما زلت أفضل تطوير هجوم من خلال موقع بعيد ، إنه أكثر هدوءًا.

تم تنشيط AppLocker على خادم التطبيقات مع Citrix ، ولكن تم تجاوزه. تم تحميل نفس Meterpreter وبدأ تشغيله عبر DNS ، لأن إصدارات http (s) لم تكن تريد الاتصال ، ولم أكن أعرف عنوان الوكيل الداخلي في ذلك الوقت. بالمناسبة ، منذ هذه اللحظة ، تحولت المكبوتة الخارجية إلى داخلية.

الجزء 4. حقوق المسؤول للمستخدمين - وهذا أمر سيئ ، p-nyatnenko؟


أول شيء يفعله Pentester عندما يتحكم في جلسة مستخدم النطاق هو جمع جميع المعلومات حول الحقوق في المجال. هناك مثل هذه الأداة BloodHound ، التي تتيح لك تلقائيًا تنزيل معلومات حول المستخدمين وأجهزة الكمبيوتر ومجموعات الأمان من خلال بروتوكول LDAP من وحدة تحكم المجال ، ومعلومات عن المستخدم الذي قام بتسجيل الدخول مؤخرًا ومن هو المسؤول المحلي من خلال SMB.

تبدو التقنية النموذجية لالتقاط امتيازات مسؤول المجال مبسطة مثل دورة من الإجراءات الرتيبة:

  • نذهب إلى أجهزة كمبيوتر المجال ، حيث توجد حقوق المسؤول المحلي ، استنادًا إلى حسابات المجال التي تم التقاطها بالفعل.
  • Mimikatz , Kerberos NTLM , . lsass.exe . Windows 2012R2/Windows 8.1 .
  • , . . - .

"نهاية الدورة" ، كما يكتب مبرمجو 1C هنا.

لذلك ، تبين أن مستخدمنا مسؤول محلي على مضيف واحد فقط يعمل بنظام التشغيل Windows 7 ، واسمه كلمة "VDI" أو "Virtual Desktop Infrastructure" ، وهي أجهزة افتراضية شخصية. ربما ، أشار مصمم خدمة VDI إلى أنه نظرًا لأن VDI هو نظام التشغيل الشخصي للمستخدم ، فدع المستخدم يغير بيئة البرنامج ، كما تريد ، على أي حال يمكن "إعادة تحميل" المضيف. اعتقدت أيضًا ، بشكل عام ، أن الفكرة جيدة ، لقد ذهبت إلى مضيف VDI الشخصي هذا وقمت بعمل مقبس هناك:

  • لقد قمت بتثبيت عميل OpenVPN هناك ، والذي قام بعمل نفق عبر الإنترنت إلى الخادم الخاص بي. كان على العميل اجتياز Blue Coat مع مصادقة المجال ، لكن OpenVPN تعاملت ، كما يقولون ، خارج الصندوق.
  • مثبتة على VDI OpenSSH. حسنًا ، ما هو Windows 7 بدون SSH؟

هكذا بدت حية. أذكرك أن كل هذا يجب أن يتم من خلال Citrix و 1 C:


واحدة من تقنيات تعزيز الوصول إلى أجهزة الكمبيوتر المجاورة هي التحقق من كلمات مرور المسؤولين المحليين للمطابقة. هنا كان الحظ ينتظر على الفور: اقترب تجزئة NTLM الافتراضي للمسؤول المحلي (الذي أطلق عليه فجأة اسم المسؤول) من مضيفي VDI المجاورين ، والذين كان هناك عدة مئات ، من خلال هجوم تمرير التجزئة. بالطبع ، تجاوز الهجوم على الفور.
ثم أطلق مسؤولو VDI أنفسهم في القدم مرتين:
  • في المرة الأولى التي لم يتم فيها تشغيل أجهزة VDI بواسطة LAPS ، مما أدى إلى حفظ نفس كلمة مرور المسؤول المحلي من صورة تم نشرها على نطاق واسع في VDI.
  • — , pass-the-hash . , , — .
لماذا خدمة SSH على هذا الويندوز؟ بسيط للغاية: الآن لم يوفر خادم OpenSSH فقط أمر أوامر تفاعلي مناسب دون التدخل في عمل المستخدم ، ولكن أيضًا وكيل socks5 على VDI. من خلال هذه الجوارب ، اتصلت عبر SMB وجمعت حسابات مخزنة مؤقتًا من جميع هذه المئات من أجهزة VDI ، ثم بحثت عن المسار إلى مسؤول المجال في الرسوم البيانية BloodHound. مع وجود مئات من المضيفين تحت تصرفي ، وجدت هذه الطريقة بسرعة. تم الحصول على حقوق مسؤول المجال.

هذه صورة من الإنترنت تظهر بحثاً مماثلاً. تظهر الروابط من هو المسؤول ومن دخل أين.


بالمناسبة ، تذكر الشرط من بداية المشروع - "لا تطبق الهندسة الاجتماعية". لذا ، أقترح التفكير في مقدار قطع بوليوود بالكامل بمؤثرات خاصة ، إذا كان بإمكان المرء مع ذلك تطبيق التصيد الاحتيالي. لكني شخصياً كنت مهتماً جداً بكل هذا. اتمنى انك كنت مهتما بقراءة هذا بالطبع ، لا يبدو كل مشروع مثيرًا للاهتمام ، ولكن العمل ككل محير للغاية ولا يركد.

ربما ، سيكون لدى شخص ما سؤال: كيف تحمي نفسك؟ حتى في هذه المقالة ، يتم وصف العديد من التقنيات ، حتى أن مسؤولي Windows لا يعرفون حتى الكثير عنها. ومع ذلك ، أقترح أن ننظر إليها من منظور المبادئ والتدابير المبتذلة لأمن المعلومات:

  • لا تستخدم برامج قديمة (تذكر Windows 2003 في البداية؟)
  • لا تبقي الأنظمة غير الضرورية قيد التشغيل (لماذا كان موقع طبيب المسالك البولية؟)
  • تحقق من كلمات مرور المستخدم لتقوية نفسك (وإلا فإن الجنود ... pentesters سيفعلون ذلك )
  • لا تملك نفس كلمات المرور لحسابات مختلفة (اختراق VDI)
  • وغيرها

بالطبع ، من الصعب جدًا تنفيذه ، ولكن في المقالة التالية سنوضح عمليًا أن هذا ممكن تمامًا.

More articles:


All Articles