👲🏼 👸🏿 🗯️ एक बार एक पंचकोण पर, या एक यूरोलॉजिस्ट और रोसकोम्नाडज़ोर की मदद से सब कुछ कैसे तोड़ना है 🥐 🤾🏿 🍡

यह लेख एक बहुत ही सफल पंचकोण पर आधारित है, जिसे ग्रुप-आईबी के विशेषज्ञों ने कुछ साल पहले संचालित किया था: एक ऐसी कहानी हुई जो बॉलीवुड में फिल्म के अनुकूलन का दावा करती है। अब, शायद, पाठक की प्रतिक्रिया का पालन करेंगे: "ओह, एक और पीआर लेख, फिर से ये तैयार किए गए हैं, वे कितने अच्छे हैं, एक पेंट खरीदने के लिए मत भूलना।" खैर, एक तरफ, यह है। हालाँकि, इस लेख के प्रकट होने के कई कारण हैं। मैं यह दिखाना चाहता था कि वास्तव में पेंटेस्टर्स क्या कर रहे हैं, यह काम कितना दिलचस्प और गैर-तुच्छ हो सकता है, परियोजनाओं पर क्या मनोरंजक परिस्थितियां विकसित हो सकती हैं, और सबसे महत्वपूर्ण बात, वास्तविक उदाहरणों के साथ लाइव सामग्री दिखाना।

दुनिया में विनम्रता के संतुलन को बहाल करने के लिए, थोड़ी देर के बाद हम उस पंच के बारे में लिखेंगे, जो नहीं गया था। हम दिखाते हैं कि एक कंपनी में कितनी अच्छी तरह से स्थापित प्रक्रियाएं हमलों की एक पूरी श्रृंखला के खिलाफ रक्षा कर सकती हैं, यहां तक कि अच्छी तरह से तैयार वाले भी, क्योंकि ये प्रक्रियाएं मौजूद हैं और वास्तव में काम करती हैं।

इस लेख से ग्राहक भी, सामान्य रूप से सब कुछ ठीक था, कम से कम 95% रूसी संघ के बाजार में, हमारी भावनाओं के अनुसार, लेकिन कई छोटी-छोटी बारीकियां थीं जिन्होंने घटनाओं की एक लंबी श्रृंखला बनाई, जिसने काम पर एक लंबी रिपोर्ट का नेतृत्व किया। , और फिर इस लेख के लिए।

इसलिए, पॉपकॉर्न पर स्टॉक करें, और जासूस का स्वागत करें। मैं ऑडिट एंड कंसल्टिंग ग्रुप-आईबी के तकनीकी निदेशक, पावेल सुप्रिन्युक को मंजिल दे रहा हूं ।

भाग 1. पोचकिन डॉक्टर

2018 साल। एक ग्राहक है - एक उच्च तकनीक वाली आईटी कंपनी, जो खुद कई ग्राहकों को सेवा देती है। वह प्रश्न का उत्तर प्राप्त करना चाहता है: क्या यह संभव है, बिना किसी प्रारंभिक ज्ञान और पहुंच के, इंटरनेट के माध्यम से काम करते हुए, सक्रिय निर्देशिका डोमेन के लिए व्यवस्थापक अधिकार प्राप्त करने के लिए? कोई भी सोशल इंजीनियरिंग कोई दिलचस्पी नहीं है ( एह, लेकिन व्यर्थ ), वे विशेष रूप से काम में हस्तक्षेप नहीं करने जा रहे हैं, लेकिन वे गलती से एक अजीब काम करने वाले सर्वर को फिर से लोड कर सकते हैं, उदाहरण के लिए। एक अतिरिक्त कार्य बाहरी परिधि के संबंध में संभव के रूप में कई अन्य हमले वैक्टर की पहचान करना है। कंपनी नियमित रूप से ऐसे परीक्षण करती है, और अब एक नए परीक्षण की समय सीमा। परिस्थितियां लगभग विशिष्ट, पर्याप्त, समझने योग्य हैं। निचे हो रही हें।

एक ग्राहक नाम है - इसे "कंपनी" होने दें, मुख्य साइट www.company.ru के साथ। बेशक, ग्राहक को अलग तरह से कहा जाता है, लेकिन इस लेख में सब कुछ को व्यक्तिगत रूप से चित्रित किया जाएगा।
मैं नेटवर्क इंटेलिजेंस का संचालन करता हूं - मुझे पता चलता है कि कौन से पते और डोमेन ग्राहक द्वारा सूचीबद्ध हैं, एक नेटवर्क आरेख बनाएं, इन पते पर सेवाएं कैसे वितरित की जाती हैं। मुझे परिणाम मिलता है: 4000 से अधिक लाइव आईपी पते। मैं इन नेटवर्कों में डोमेन के माध्यम से देखता हूं: सौभाग्य से, विशाल बहुमत ग्राहक ग्राहकों के लिए इच्छित नेटवर्क हैं, और वे हमें औपचारिक रूप से रुचि नहीं देते हैं। ग्राहक वही मानता है।

256 पतों के साथ एक नेटवर्क रहता है, जिसके लिए इस समय तक पहले से ही आईपी पते द्वारा डोमेन और उप-डोमेन के वितरण की समझ है, स्कैन किए गए बंदरगाहों के बारे में जानकारी है, जिसका अर्थ है कि आप अपनी आंखों से दिलचस्प लोगों के लिए सेवाओं को देख सकते हैं। समानांतर में, सभी प्रकार के स्कैनर सुलभ आईपी पते और अलग-अलग वेबसाइटों पर लॉन्च किए जाते हैं।

बहुत सारी सेवाएं हैं। यह आमतौर पर पंचर और त्वरित जीत की प्रत्याशा के लिए एक खुशी है, क्योंकि अधिक सेवाओं के बाद, हमले के क्षेत्र में अधिक से अधिक और आसान यह एक विरूपण साक्ष्य खोजने के लिए है। वेबसाइटों पर एक त्वरित नज़र से पता चला कि उनमें से अधिकांश बड़ी दुनिया की प्रसिद्ध कंपनियों के वेब इंटरफेस हैं जो कहते हैं कि वे आपसे खुश नहीं हैं। वे एक उपयोगकर्ता नाम और पासवर्ड के लिए पूछते हैं, जिस दहलीज से वे दूसरे कारक में प्रवेश करने के लिए फ़ील्ड को हिलाते हैं, वे एक टीएलएस क्लाइंट प्रमाणपत्र के लिए पूछते हैं या उन्हें Microsoft ADFS को भेजते हैं। कुछ बस इंटरनेट से अनुपलब्ध हैं। कुछ के लिए, आपको स्पष्ट रूप से तीन वेतन के लिए एक विशेष भुगतान किए गए ग्राहक या प्रवेश करने के लिए सटीक URL जानने की आवश्यकता है। हम ज्ञात कमजोरियों के लिए संस्करणों के अनुसार सॉफ़्टवेयर को "के माध्यम से तोड़ने" की कोशिश करने की प्रक्रिया में क्रमिक हतोत्साहन का एक और सप्ताह छोड़ देंगे, वेब पथों में छिपी हुई सामग्री की खोज करना और लिंक्डइन जैसी तृतीय-पक्ष सेवाओं से लीक हुए खाते,आँकड़ों के अनुसार, उनके लिए पासवर्ड का चयन करने का प्रयास करने के साथ-साथ स्व-वर्णित वेबसाइटों में कमजोरियों की खुदाई करने का प्रयास किया गया है - आंकड़ों के अनुसार, यह एक बाहरी हमले का अब तक का सबसे आशाजनक वेक्टर है। तुरंत मैंने सिनेमा बंदूक पर ध्यान दिया, जिसे बाद में निकाल दिया गया।

इसलिए, सैकड़ों सेवाओं से अलग दो साइटें थीं। इन साइटों में एक बात समान थी: यदि आप डोमेन द्वारा सावधानीपूर्वक नेटवर्क पुनरावृत्ति में शामिल नहीं होते हैं, लेकिन खुले बंदरगाहों के लिए "सामने" देखें या किसी ज्ञात आईपी रेंज पर भेद्यता स्कैनर को जहर दें, तो ये साइटें सत्यापन से दूर चली जाएंगी, वे बस DNS नाम को जाने बिना नहीं दिखाई देंगी। शायद वे पहले याद किए गए थे, कम से कम, और हमारे स्वचालित टूल को उनमें समस्याएं नहीं मिलीं, भले ही वे सीधे संसाधन पर सेट किए गए हों।

वैसे, इस तथ्य के बारे में कि पहले लॉन्च किए गए स्कैनर आमतौर पर पाए जाते थे। मुझे आपको याद दिलाना है: कुछ लोगों के लिए, "स्वचालित" स्कैन करने के लिए "पेंटेस्ट" समान है। और इस परियोजना पर स्कैनर ने कुछ नहीं कहा। खैर, मध्यम कमजोरियों ने अधिकतम दिखाया (खतरे के संदर्भ में 5 में से 3): कुछ सेवा में एक खराब टीएलएस प्रमाणपत्र या पुराने एन्क्रिप्शन एल्गोरिदम हैं, और अधिकांश साइटों पर क्लिकजैकिंग है। लेकिन इस पर आप लक्ष्य पर नहीं आएंगे। संभवतः, यहां स्कैनर अधिक उपयोगी होंगे, लेकिन मैं आपको याद दिला दूं: ग्राहक स्वयं ऐसे कार्यक्रमों को खरीदने और उनके साथ खुद को परखने में सक्षम है, और सुस्त परिणामों को देखते हुए, उसने पहले ही इसकी जाँच कर ली।

"असामान्य" साइटों पर वापस जाएं। पहले एक गैर-मानक पते पर स्थानीय विकी की तरह कुछ है, लेकिन wiki.company [] आरयू को इस लेख में जाने दें। उसने तुरंत एक उपयोगकर्ता नाम और पासवर्ड का अनुरोध किया, लेकिन पहले से ही ब्राउज़र में NTLM के माध्यम से। उपयोगकर्ता के लिए, यह एक उपयोगकर्ता नाम और पासवर्ड के लिए पूछते हुए एक तपस्वी खिड़की जैसा दिखता है। और यह बुरा अभ्यास है।

. NTLM - . — Active Directory. company.ru, «» DNS-. , - , , - . — NTLM (, ?), «» , . , . — , . — . — , , . — pass-the-hash-. ADFS .

Microsoft उत्पादों की एक बुरी विशेषता है: भले ही आपने विशेष रूप से ऐसे NTLM को प्रकाशित नहीं किया है, यह OWA और Lync में डिफ़ॉल्ट स्थापना में होगा, कम से कम।

वैसे, इस लेख के लेखक ने एक बार गलती से एक बड़े बैंक के कर्मचारियों के लगभग 1000 खातों को केवल एक घंटे में अवरुद्ध कर दिया था और फिर कुछ हद तक पीला दिखाई दिया था। बैंक की आईटी सेवाएं भी कमज़ोर थीं, लेकिन सब कुछ अच्छी तरह से और पर्याप्त रूप से समाप्त हो गया, हमें इस बात की भी प्रशंसा की गई कि हम इस समस्या का पता लगाने वाले और त्वरित और निर्णायक सुधार के लिए सबसे पहले हैं।

दूसरी साइट का पता "स्पष्ट रूप से-कुछ-अंतिम name.company.ru" था। Google के माध्यम से मिला, पेज 10 पर कुछ इस तरह। डिजाइन 2000 के मध्य से शुरू हो रहा है, और एक सम्मानित व्यक्ति ने मुख्य पृष्ठ से देखा, कुछ इस तरह:

फिर उन्होंने "डॉग्स हार्ट" से एक फ्रेम लिया, लेकिन मेरा विश्वास करो, यह दूरस्थ रूप से समान था, यहां तक कि समान रंगों में रंग योजना भी। साइट को preobrazhensky.company.ru कहा जाता है ।

यह एक व्यक्तिगत साइट थी ... एक मूत्र रोग विशेषज्ञ की। यह दिलचस्प हो गया कि एक उच्च तकनीक कंपनी के उपडोमेन पर यूरोलॉजिस्ट की साइट क्या करती है। Google पर एक त्वरित खुदाई से पता चला कि यह डॉक्टर हमारे ग्राहक के कानूनी अधिकारों में से एक का सह-संस्थापक था और यहां तक कि पंजीकृत पूंजी के लगभग 1000 रूबल का योगदान दिया था। साइट शायद कई साल पहले बनाई गई थी, और ग्राहक के सर्वर संसाधनों का उपयोग होस्टिंग के रूप में किया गया था। साइट ने लंबे समय तक प्रासंगिकता खो दी है, लेकिन किसी कारण से लंबे समय तक काम करना छोड़ दिया गया है।

कमजोरियों के संदर्भ में, वेबसाइट ही सुरक्षित थी। आगे देखते हुए, मैं कहूंगा कि यह स्टैटिक्स का एक सेट था - गुर्दे और मूत्राशय के रूप में चित्रों के आवेषण के साथ सरल HTML-पृष्ठ। ऐसी साइट को "तोड़ना" बेकार है।

लेकिन इसके तहत वेब सर्वर अधिक दिलचस्प था। HTTP सर्वर हेडर को देखते हुए, IIS 6.0 था, जिसका अर्थ है कि विंडोज 2003 का उपयोग ऑपरेटिंग सिस्टम के रूप में किया गया था। स्कैनर ने पहले खुलासा किया कि एक ही वेब सर्वर पर अन्य वर्चुअल होस्टों के विपरीत, यूरोलॉजिस्ट की यह विशेष वेबसाइट, PROPFIND कमांड को जवाब देती है, अर्थात WebDAV ने वहां काम किया है। वैसे, स्कैनर ने यह जानकारी चिह्न के साथ जारी की है जानकारी (स्कैनर रिपोर्टों की भाषा में यह सबसे कम खतरा है) - ऐसी चीजें आमतौर पर बस छोड़ दी जाती हैं। संयोजन में, इसने एक दिलचस्प प्रभाव दिया, जो Google में एक और खुदाई के बाद ही सामने आया था: एक दुर्लभ बफर अतिप्रवाह भेद्यता जो कि शैडो ब्रोकर्स के एक सेट के साथ जुड़ा हुआ था, अर्थात् CVE-2017-7269, जो पहले से ही तैयार शोषण था। दूसरे शब्दों में, अगर आपके पास Windows 2003 है और IIS पर WebDAV चल रहा है तो यह एक आपदा होगी।हालांकि 2018 में विंडोज 2003 के उत्पादन में काम करना, यह अपने आप में एक आपदा है।

शोषण मेटास्प्लोइट में समाप्त हो गया और तुरंत एक लोड के साथ परीक्षण किया गया था जो एक DNS क्वेरी को एक नियंत्रित सेवा में भेजा गया था - बर्प कोलैबोरेटर पारंपरिक रूप से DNS प्रश्नों को फंसाने के लिए उपयोग किया जाता है। आश्चर्यजनक रूप से, इसने पहली बार काम किया: DNS में एक झटका मिला। तब पोर्ट 80 के माध्यम से बैक-एंड कनेक्शन बनाने का प्रयास किया गया था (अर्थात, सर्वर से हमलावर के लिए नेटवर्क कनेक्शन, पीड़ित होस्ट पर cmd.exe तक पहुंच के साथ), लेकिन फिर एक फ़िस्को हुआ। कनेक्शन नहीं आया, और तीसरे ऑपरेशन के प्रयास के बाद, साइट, सभी मनोरंजक चित्रों के साथ, अच्छे के लिए गायब हो गई।

आमतौर पर यह "ग्राहक, जागना, हम सब कुछ छोड़ चुके हैं" की शैली में एक पत्र है। लेकिन हमें बताया गया कि साइट का व्यवसाय प्रक्रियाओं और सामान्य रूप से वहां काम करने से कोई लेना-देना नहीं है, यह स्पष्ट नहीं है कि पूरे सर्वर की तरह क्यों, और हम इस संसाधन का उपयोग कर सकते हैं जैसे हम कृपया।
लगभग एक दिन के बाद, साइट ने अचानक अपने दम पर काम करना शुरू कर दिया। IIS 6.0 पर WebDAV से एक स्टैंड बनाने के बाद, मैंने पाया कि डिफ़ॉल्ट सेटिंग हर 30 घंटे में IIS वर्कफ़्लोज़ को पुनरारंभ करना है। यही है, जब नियंत्रण शेल कोड से बाहर निकल गया, तो आईआईएस वर्कफ़्लो समाप्त हो गया, फिर इसने एक दो बार फिर से शुरुआत की और फिर 30 घंटे के लिए आराम करने चला गया।

चूंकि पहली बार tcp पर bekconnect विफल हुआ, इसलिए मैंने इस समस्या को एक बंद पोर्ट पर लिखा। यही है, उन्होंने कुछ फ़ायरवॉल की उपस्थिति का सुझाव दिया जो आउटगोइंग कनेक्शन को बाहर नहीं जाने देते थे। मैंने कई कोड और udp पोर्ट के माध्यम से शेल कोड चलाना शुरू किया, जिसका कोई असर नहीं हुआ। Metasploit से http (s) के माध्यम से रिवर्स कनेक्शन लोड होता है - मीटरपरेटर / रिवर्स_एचटीपी (एस) काम नहीं करता था। अचानक, उसी पोर्ट 80 के लिए कनेक्शन स्थापित किया गया था, लेकिन तुरंत टूट गया। उन्होंने इसे अभी भी काल्पनिक IPS की कार्रवाई के लिए लिखा था, जो मीटरप्रेटर ट्रैफ़िक को पसंद नहीं करता था। इस तथ्य के प्रकाश में कि पोर्ट 80 में शुद्ध टीसीपी का कनेक्शन काम नहीं करता था, लेकिन http ने किया, मैंने निष्कर्ष निकाला कि http प्रॉक्सी किसी तरह सिस्टम में कॉन्फ़िगर किया गया था।

DNS के माध्यम से भी मीटरप्रेर की कोशिश की (धन्यवादd00kieअपने प्रयासों के लिए, कई परियोजनाओं को बचाया), पहली सफलता को याद करते हुए, लेकिन उन्होंने स्टैंड पर भी काम नहीं किया - इस भेद्यता के लिए शेल कोड बहुत अधिक चमकदार था।

वास्तव में, यह इस तरह दिखता था: 5 मिनट के भीतर हमले करने के 3-4 प्रयास, फिर 30 घंटे तक प्रतीक्षा करें। और इसलिए लगातार तीन सप्ताह तक। मैंने एक रिमाइंडर भी सेट किया ताकि समय बर्बाद न हो। इसके अलावा, परीक्षण और युद्ध के वातावरण के व्यवहार में अंतर था: इस भेद्यता के लिए दो समान कारनामे थे, एक मेटास्प्लोइट से, दूसरा इंटरनेट से, शैडो ब्रोकर्स संस्करण से फिर से बनाया गया। तो, मुकाबले में केवल मेटास्प्लोइट ने काम किया, स्टैंड पर - केवल दूसरा, जिसने आगे जटिल डिबगिंग की और मस्तिष्क को तोड़ दिया।

अंत में, शेल कोड प्रभावी साबित हुआ, जिसने किसी दिए गए सर्वर से http के माध्यम से एक exe फ़ाइल डाउनलोड की और इसे लक्ष्य प्रणाली पर चलाया। शेलकोड में फिट होने के लिए काफी छोटा था और कम से कम यह काम करता था। चूंकि TCP सर्वर बिल्कुल भी ट्रैफ़िक की तरह नहीं था और http (s) को मीटरपरेटर के लिए निरीक्षण किया गया था, इसलिए मैंने तय किया कि सबसे तेज़ तरीका है कि इस शेलकोड के माध्यम से DNS-meterpreter वाले exe फ़ाइल को डाउनलोड करें।

यहां फिर से समस्या उत्पन्न हुई: एक्स-फाइल डाउनलोड करते समय और, जैसा कि प्रयासों ने दिखाया, कोई फर्क नहीं पड़ता कि क्या डाउनलोड बाधित हुआ था। फिर से, मेरे सर्वर और यूरोलॉजिस्ट के बीच किसी तरह का सुरक्षा उपकरण http ट्रैफ़िक को एक्सई के अंदर पसंद नहीं आया। यह शेलकोड को बदलने के लिए एक "त्वरित" समाधान की तरह लग रहा था ताकि यह मक्खी पर http ट्रैफ़िक को बाधित कर दे, जिससे एब्स बाइनरी डेटा को exe के बजाय स्थानांतरित किया गया था। अंत में, हमला सफल रहा, नियंत्रण डीएनएस चैनल के माध्यम से आया:

यह तुरंत स्पष्ट हो गया कि मेरे पास IIS वर्कफ़्लो के सबसे सरल अधिकार थे जो मुझे कुछ नहीं करने की अनुमति देते थे। यह कैसे Metasploit कंसोल पर देखा गया है:

सभी पंचोपचार पद्धति दृढ़ता से सुझाव देती है कि आपको पहुंच प्राप्त करते समय अधिकारों को बढ़ाने की आवश्यकता है। आमतौर पर मैं इसे स्थानीय रूप से नहीं करता हूं, क्योंकि बहुत पहले पहुंच को केवल नेटवर्क एंट्री पॉइंट माना जाता है, और उसी नेटवर्क पर किसी अन्य मशीन से समझौता करना आमतौर पर मौजूदा होस्ट पर विशेषाधिकार बढ़ाने से आसान और तेज होता है। लेकिन यह ऐसा नहीं है, क्योंकि DNS चैनल बहुत संकीर्ण है और यह ट्रैफ़िक को घूमने की अनुमति नहीं देगा।

यह मानते हुए कि विंडोज 2003 के साथ इस सर्वर को प्रसिद्ध MS17-010 भेद्यता से मरम्मत नहीं की गई थी, मैं मीटरगेटर DNS सुरंग के माध्यम से लोकलहोस्ट (हाँ, यह भी संभव है) के माध्यम से 445 / टीसीपी को पोर्ट करने के लिए ट्रैफ़िक कर रहा है (हाँ, यह भी संभव है) और भेद्यता के माध्यम से पहले से डाउनलोड किए गए exe को चलाने की कोशिश कर रहा है। हमला काम करता है, मुझे दूसरा कनेक्शन मिलता है, लेकिन सिस्टम विशेषाधिकारों के साथ।

दिलचस्प है, सर्वर अभी भी MS17-010 के खिलाफ की रक्षा करने की कोशिश कर रहा था - इसमें बाहरी इंटरफ़ेस पर कमजोर नेटवर्क सेवाओं को अक्षम किया गया था। यह वास्तव में नेटवर्क के माध्यम से हमलों से बचाता है, लेकिन लोकलहोस्ट के भीतर से हमले ने काम किया, क्योंकि आप बस ले नहीं सकते हैं और एसबीएम को स्थानीयहोस्ट से बंद कर सकते हैं।

अगला, नया दिलचस्प विवरण सामने आया है:

सिस्टम अनुमतियाँ होने पर, आप आसानी से टीसीपी के माध्यम से बैक-कनेक्ट स्थापित कर सकते हैं। जाहिर है, प्रत्यक्ष टीसीपी का निषेध विशेष रूप से एक IIS सीमित उपयोगकर्ता समस्या है। Spoiler: IIS उपयोगकर्ता ट्रैफ़िक किसी तरह दोनों दिशाओं में स्थानीय ISA प्रॉक्सी में लिपटे हुए थे। यह कैसे काम करता है पुन: पेश नहीं किया जाता है।
मैं एक निश्चित "DMZ" में हूँ (और यह एक सक्रिय निर्देशिका डोमेन नहीं है, लेकिन WORKGROUP) - यह तार्किक लगता है। लेकिन अपेक्षित निजी ("ग्रे") आईपी पते के बजाय, मैं काफी "सफेद" हूं, ठीक उसी तरह जैसे मैंने पहले हमला किया था। इसका मतलब यह है कि कंपनी IPv4 की दुनिया के लिए इतनी पुरानी है कि यह योजना के अनुसार NAT के बिना DMZ क्षेत्र को 128 "श्वेत" पतों पर रखने का जोखिम उठा सकती है, जैसा कि 2005 के सिस्को मैनुअल में सचित्र था।

चूंकि सर्वर पुराना है, Mimikatz को सीधे मेमोरी से काम करने की गारंटी दी जाती है:

मुझे टीसीपी के माध्यम से स्थानीय प्रशासक, मैं सुरंग आरडीपी ट्रैफ़िक का पासवर्ड मिलता है और मैं एक आरामदायक डेस्कटॉप में जाता हूं। चूंकि आप सर्वर के साथ कुछ भी कर सकते हैं, मैं एंटीवायरस को हटा देता हूं, मुझे लगता है कि सर्वर केवल टीसीपी पोर्ट 80 और 443 पर इंटरनेट से सुलभ है, और 443 व्यस्त नहीं था। मैं ओपन वीपीएन सर्वर को 443 तक बढ़ाता हूं, अपने वीपीएन ट्रैफिक के लिए एनएटी कार्यों को जोड़ता हूं और डीएमजेड नेटवर्क के लिए मेरे ओपन वीपीएन के माध्यम से असीमित रूप में सीधे पहुंच प्राप्त करता हूं। यह उल्लेखनीय है कि आईएसए ने कुछ गैर-अक्षम आईपीएस सुविधाओं के साथ, पोर्ट स्कैनिंग के साथ मेरे यातायात को अवरुद्ध कर दिया था, जिसके लिए इसे एक सरल और अधिक लचीले आरआरएएस के साथ बदलना पड़ा। इसलिए पेन्टेस्टर्स को अभी भी कभी-कभी सब कुछ प्रशासित करना पड़ता है।

एक चौकस पाठक पूछेगा: "और दूसरी साइट क्या है - NTLM प्रमाणीकरण के साथ एक विकी, जिसके बारे में अब तक लिखा गया है?" इसके बारे में आगे।

भाग 2. क्या आप अभी भी एन्क्रिप्ट नहीं कर रहे हैं? फिर हम आपके यहाँ पहले से ही जाते हैं

तो, DMZ नेटवर्क सेगमेंट तक पहुंच है। आपको डोमेन व्यवस्थापक पर जाने की आवश्यकता है। पहली बात यह है कि डीएमजेड सेगमेंट के अंदर सेवाओं की सुरक्षा के लिए स्वचालित रूप से जांच की जाती है, विशेष रूप से क्योंकि उनमें से कई अब अनुसंधान के लिए खुले हैं। एक पैठ परीक्षण में एक विशिष्ट तस्वीर: बाहरी परिधि आंतरिक सेवाओं की तुलना में बेहतर रूप से संरक्षित है, और जब आप किसी बड़े बुनियादी ढांचे तक पहुंच प्राप्त करते हैं, तो केवल एक डोमेन में विस्तारित अधिकार प्राप्त करना बहुत आसान होता है क्योंकि यह डोमेन उपकरण के लिए सुलभ होना शुरू होता है, और दूसरी बात, कई हजार मेजबानों के लिए बुनियादी ढांचे में हमेशा कुछ महत्वपूर्ण मुद्दे हैं।

मैं OpenVPN सुरंग के माध्यम से DMZ पर स्कैनर लोड करता हूं, मुझे इंतजार है। मैं रिपोर्ट खोलता हूं - फिर कुछ भी गंभीर नहीं है, जाहिर है कि कोई मेरे लिए उसी तरह से चले। अगला कदम यह जांचना है कि मेजबान डीएमजेड नेटवर्क के भीतर कैसे संवाद करते हैं। ऐसा करने के लिए, शुरू करने के लिए, नियमित रूप से प्रसारण अनुरोधों को सुनने के साथ एक विंडसर लॉन्च किया जाता है, मुख्य रूप से एआरपी। एआरपी पैकेज पूरे दिन एकत्र किए गए थे। यह पता चला है कि इस खंड में कई गेटवे का उपयोग किया जाता है। यह बाद में काम आएगा। एआरपी अनुरोध-प्रतिक्रिया डेटा और पोर्ट स्कैन डेटा पर ग्लूइंग डेटा, मुझे उन सेवाओं के अलावा स्थानीय नेटवर्क से उपयोगकर्ता ट्रैफ़िक के आउटपुट पॉइंट मिले, जो पहले ज्ञात थे, जैसे वेब और मेल।

चूंकि इस समय मेरे पास अन्य प्रणालियों तक पहुंच नहीं थी और कॉर्पोरेट सेवाओं के लिए एक भी खाता नहीं था, इसलिए एआरपी स्पोफिंग का उपयोग करके यातायात से कम से कम कुछ खाते लाने का निर्णय लिया गया था।

कैन एंड एबेल को यूरोलॉजिस्ट के सर्वर पर लॉन्च किया गया था। पहचाने गए ट्रैफ़िक प्रवाह को ध्यान में रखते हुए, सबसे होनहार जोड़े को "मैन इन द मिडल" हमले के लिए चुना गया था, फिर 5-10 मिनट के लिए एक छोटी अवधि की शुरुआत के साथ, "फ्रीज़िंग" के मामले में सर्वर को पुनरारंभ करने के लिए टाइमर के साथ, कुछ नेटवर्क ट्रैफ़िक प्राप्त हुआ था। जैसा कि मज़ाक में, दो खबरें थीं:

अच्छा: बहुत सारे क्रेडेंशियल्स पकड़े गए और एक पूरे काम के रूप में हमला।
खराब: सभी क्रेडेंशियल्स ग्राहक के ग्राहकों से स्वयं थे। सहायता सेवाएँ प्रदान करना, ग्राहक सेवाओं से जुड़े ग्राहक के विशेषज्ञ, जिनके पास हमेशा ट्रैफ़िक एन्क्रिप्शन कॉन्फ़िगर नहीं था।

नतीजतन, मैंने बहुत सारे क्रेडेंशियल्स पकड़ लिए जो परियोजना के संदर्भ में बेकार थे, लेकिन निश्चित रूप से एक हमले के खतरे के प्रदर्शन के रूप में दिलचस्प थे। टेलनेट के साथ बड़ी कंपनियों के बॉर्डर राउटर, सभी डेटा के साथ HTTP-बंदरगाहों को आंतरिक CRM में अग्रेषित कर रहे हैं, स्थानीय नेटवर्क और अन्य अश्लीलता पर विंडोज एक्सपी से आरडीपी तक सीधी पहुंच। यह MITER मैट्रिक्स के अनुसार एक प्रकार की आपूर्ति श्रृंखला समझौता निकला ।

ट्रैफिक से ईमेल इकट्ठा करने का एक मजेदार अवसर भी मिला, कुछ इस तरह से। यह एक समाप्त पत्र का एक उदाहरण है जो हमारे ग्राहक से उसके ग्राहक के एसएमटीपी पोर्ट पर गया, फिर से, एन्क्रिप्शन के बिना। एक निश्चित आंद्रेई दस्तावेज को फिर से भेजने के लिए अपने नाम पूछता है, और यह एक उपयोगकर्ता नाम, पासवर्ड और एक उत्तर पत्र में लिंक के साथ क्लाउड डिस्क पर रखा गया है:

यह एक और अनुस्मारक है जिसे आपको सभी सेवाओं को एन्क्रिप्ट करने की आवश्यकता है। यह नहीं पता है कि कौन और कब विशेष रूप से आपके डेटा को पढ़ेगा और लागू करेगा - एक प्रदाता, किसी अन्य कंपनी का एक सिस्टम प्रशासक, या ऐसा कोई पेंटेस्टर। मैं चुप हूं कि कई लोग बिना लाइसेंस वाले यातायात को रोक सकते हैं।

स्पष्ट सफलता के बावजूद, यह लक्ष्य के करीब नहीं लाया गया था। यह संभव है, निश्चित रूप से, लंबे समय तक बैठने और बहुमूल्य जानकारी प्राप्त करने के लिए, लेकिन इस तथ्य से नहीं कि यह वहां दिखाई देगा, और नेटवर्क की अखंडता के संदर्भ में हमला खुद बहुत जोखिम भरा है।

सेवाओं में एक और खुदाई के बाद, मेरे दिमाग में एक दिलचस्प विचार आया। रिस्पॉन्डर नामक इस तरह की एक उपयोगिता है (इस नाम से अनुप्रयोगों के उदाहरणों को खोजना आसान है), जो "जहर" प्रसारण अनुरोधों द्वारा, एसएमबी, एचटीटीपी, एलडीएपी, आदि जैसे कई प्रोटोकॉल पर कनेक्शन को भड़काता है। अलग-अलग तरीकों से, फिर कनेक्ट करने वाले प्रत्येक व्यक्ति को प्रमाणीकरण करने और समायोजित करने के लिए कहा जाता है ताकि प्रमाणीकरण NTLM और पीड़ित के लिए एक पारदर्शी मोड से होकर गुजरे। सबसे अधिक, एक हमलावर इस प्रकार NetNTLMv2 हैंडशेक एकत्र करता है और उनसे, शब्दकोश के अनुसार, जल्दी से उपयोगकर्ता डोमेन पासवर्ड पुनर्प्राप्त करता है। मैं यहां कुछ ऐसा ही चाहता था, लेकिन उपयोगकर्ता "दीवार के पीछे" बैठे थे, या बल्कि, वे एक फ़ायरवॉल द्वारा अलग किए गए थे, और WEB पर वे ब्लू कोट प्रॉक्सी क्लस्टर के माध्यम से गए थे।

याद रखें, मैंने निर्दिष्ट किया था कि सक्रिय निर्देशिका डोमेन नाम "बाहरी" डोमेन के साथ मेल खाता है, अर्थात company.ru था? तो, विंडोज, अधिक सटीक रूप से इंटरनेट एक्सप्लोरर (और एज, और क्रोम), उपयोगकर्ता को NTLM के माध्यम से HTTP में पारदर्शी रूप से प्रमाणित करने की अनुमति देते हैं, अगर वे मानते हैं कि साइट कुछ "इंट्रानेट ज़ोन" में है। "इंट्रानेट" के संकेतों में से एक "ग्रे" आईपी पते या एक संक्षिप्त डीएनएस नाम है, जो डॉट्स के बिना है। चूंकि "श्वेत" IP और DNS नाम preobrazhensky.company.ru वाला सर्वर अपने निपटान में था, और डोमेन मशीनों को आमतौर पर नाम प्रविष्टि को सरल बनाने के लिए डीएचसीपी के माध्यम से सक्रिय निर्देशिका डोमेन प्रत्यय मिलता है, उन्हें बस एड्रेस बार में प्रीबॉर्ज़ेंसरी URL लिखना होता थाताकि वे एक समझौता किए गए यूरोलॉजिस्ट सर्वर के लिए सही रास्ता खोज सकें, यह न भूलें कि इसे अब "इंट्रानेट" कहा जाता है। यही है, उसी समय मुझे NTLM- हैंडशेक उपयोगकर्ता को उसकी जानकारी के बिना देना। यह क्लाइंट ब्राउज़र को इस सर्वर तक पहुंचने की तत्काल आवश्यकता के बारे में सोचने के लिए बना हुआ है।

अद्भुत उपयोगिता इंटरसेप्ट-एनजी बचाव में आई (धन्यवादIntercepter) इसने आपको आवागमन को बदलने की अनुमति दी और पूरी तरह से विंडोज 2003 पर काम किया। ट्रैफ़िक स्ट्रीम में केवल जावास्क्रिप्ट फ़ाइलों को संशोधित करने के लिए एक अलग कार्यक्षमता भी थी। यह एक बड़े पैमाने पर क्रॉस-साइट स्क्रिप्टिंग की योजना बनाई गई थी।

ब्लू कोट प्रॉक्सी है जिसके माध्यम से उपयोगकर्ता वैश्विक WEB को समय-समय पर स्थिर सामग्री तक पहुँचाते हैं। यातायात को रोककर, यह स्पष्ट था कि वे घड़ी के चारों ओर काम करते हैं, अंतहीन घंटों में सामग्री के प्रदर्शन को तेज करने के लिए अक्सर उपयोग किए जाने वाले स्टैटिक्स का अनुरोध करते हैं। इसके अलावा, BlueCoat के पास एक विशिष्ट उपयोगकर्ता-एजेंट था, जिसने इसे स्पष्ट रूप से एक जीवित उपयोगकर्ता से अलग किया था।

जावास्क्रिप्ट तैयार किया गया था, जिसने रात में इंटरसेप्ट-एनजी की मदद से ब्लू कोट के लिए जेएस फाइलों के साथ प्रत्येक उत्तर को लागू करने में एक पूरा घंटा बिताया। स्क्रिप्ट ने निम्न कार्य किया:

उपयोगकर्ता-एजेंट द्वारा वर्तमान ब्राउज़र का पता लगाया गया। यदि यह इंटरनेट एक्सप्लोरर, एज या क्रोम था - तो इस पर काम किया गया।
पेज का DOM बनने तक इंतजार किया गया।
मैंने DOM : 8080 / NNNNNNN.png में preobrazhensky प्रकार की src विशेषता के साथ एक अदृश्य चित्र डाला , जहां NNN मनमाने अंक हैं ताकि BlueCoat कैश न हो।
एक वैश्विक ध्वज चर सेट करें जिसे इंजेक्शन बनाया गया था और अब आपको चित्र सम्मिलित करने की आवश्यकता नहीं है।

ब्राउज़र ने इस चित्र को लोड करने की कोशिश की, समझौता किए गए सर्वर के पोर्ट 8080 पर, यह मेरे लैपटॉप पर टीसीपी सुरंग की प्रतीक्षा कर रहा था, जहां एक ही रेस्पोंडर लॉन्च किया गया था, जिसे ब्राउज़र से NTLM लॉगिन की आवश्यकता होती है।

रिस्पॉन्डर लॉग्स को देखते हुए, सुबह में लोग काम पर आए, अपने वर्कस्टेशन पर गए, फिर यूरोलॉजिस्ट के सर्वर पर जाकर मास्क लगाना शुरू कर दिया और अदृश्य रूप से, एनटीएलएम हैंडशेक को "मर्ज" करना न भूले। हैंडशेक में पूरे दिन बारिश हुई और कुख्यात सफल पासवर्ड रिकवरी हमले के लिए स्पष्ट रूप से संचित सामग्री। यह उत्तरदाताओं के लॉग की तरह दिखता है:

उपयोगकर्ताओं द्वारा यूरोलॉजिस्ट के सर्वर पर बड़े पैमाने पर गुप्त यात्राएं

आपने शायद पहले ही देखा था कि यह पूरी कहानी सिद्धांत पर बनाई गई है "सबकुछ ठीक था, लेकिन एक बम्मर था, फिर आगे निकल गया, और फिर सब कुछ सफलता के लिए आया"। तो, एक bummer था। पांच सौ अनूठे हैंडशेक में से एक का भी खुलासा नहीं हुआ। और यह इस तथ्य को ध्यान में रख रहा है कि मृत प्रोसेसर वाले लैपटॉप पर भी, ये NTLMv2 हैंडशेक प्रति सेकंड कई सौ मिलियन प्रयासों की गति से खत्म हो जाते हैं।

मुझे पासवर्ड म्यूटेशन तकनीक, एक ग्राफिक्स कार्ड, एक शब्द मोटा और प्रतीक्षा के साथ अपने आप को संभालना पड़ा। लंबे समय के बाद, "Q11111111 ... .1111111q" फ़ॉर्म के पासवर्ड वाले कई खाते खोले गए, जो बताते हैं कि सभी उपयोगकर्ता एक बार वर्णों के एक अलग मामले के साथ बहुत लंबे पासवर्ड के साथ आने के लिए मजबूर थे, जो कि जटिल होना चाहिए था। लेकिन आप केवल एक अनुभवी उपयोगकर्ता को विफल नहीं कर सकते, और इस तरह उसने याद रखना आसान बना दिया। कुल मिलाकर, लगभग 5 टुकड़े खोले गए, और उनमें से केवल एक के पास सेवाओं के लिए कोई मूल्यवान अधिकार था।

भाग 3. रोसकोम्नाडज़ोर वापस हमला करता है

तो, पहले डोमेन खाते प्राप्त हुए थे। यदि इस बिंदु पर आप लंबे समय तक पढ़ने से सोते नहीं थे, तो आपको शायद याद होगा कि मैंने एक ऐसी सेवा का उल्लेख किया है जिसे दूसरे प्रमाणीकरण कारक की आवश्यकता नहीं थी: यह NTLM प्रमाणीकरण के साथ एक विकी है। बेशक, पहली चीज जो उन्होंने की थी, वह दर्ज की गई थी। आंतरिक ज्ञान के आधार में खुदाई करने से परिणाम जल्दी आए:

कंपनी के पास स्थानीय नेटवर्क के उपयोग के साथ डोमेन खाता प्रमाणीकरण के साथ एक वाईफाई नेटवर्क है। वर्तमान डेटा सेट के साथ, यह पहले से ही एक कार्यशील हमला वेक्टर है, लेकिन आपको अपने पैरों के साथ कार्यालय में जाने और ग्राहक के कार्यालय में खुद को रखने की आवश्यकता है।
, , … « » , . «» «» . , DMZ.

बेशक, "दूसरा कारक" तुरंत मेरे फोन पर एक आवेदन के रूप में समझौता किए गए खाते में जोड़ा गया था। एक कार्यक्रम था जो या तो जोर से "स्वीकृत" / "अस्वीकृत" बटन के साथ फोन पर एक अनुरोध भेज सकता है, या चुपचाप आगे के स्वतंत्र इनपुट के लिए स्क्रीन पर ओटीपी कोड दिखा सकता है। इसके अलावा, पहले विधि को केवल सही निर्देश माना जाता था, लेकिन OTP विधि के विपरीत काम नहीं किया।

टूटे हुए "दूसरे कारक" के साथ, मैं आउटलुक वेब एक्सेस मेल में लॉग इन करने और Citrix Netscaler Gateway तक दूरस्थ रूप से पहुंचने में कामयाब रहा। आउटलुक में, एक आश्चर्य मेल में इंतजार कर रहा था:

इस दुर्लभ शॉट में आप देख सकते हैं कि Roskomnadzor कैसे पेंटेस्टर्स की मदद करता है।

प्रसिद्ध टेलीग्राम फैन लॉक के बाद ये पहले महीने थे, जब पूरे नेटवर्क के हजारों पतों तक पहुंच से दूर हो गए। यह स्पष्ट हो गया कि पुश ने तुरंत काम क्यों नहीं किया और मेरे "पीड़ित" ने अलार्म क्यों नहीं बजाया क्योंकि वे खुले घंटों में उसके खाते का उपयोग करने लगे थे।

जो लोग Citrix Netscaler से परिचित हैं, वे कल्पना करते हैं कि यह आमतौर पर इस तरह से लागू किया जाता है कि उपयोगकर्ता को केवल एक चित्र-इंटरफ़ेस से अवगत कराना संभव है, उसे मानक नियंत्रण कवच के माध्यम से हर संभव प्रतिबंधित कार्यों को रोकने के लिए उसे तीसरे पक्ष के एप्लिकेशन लॉन्च करने और डेटा स्थानांतरित करने के लिए उपकरण नहीं देने की कोशिश कर रहा है। मेरे व्यवसाय से, मुझे केवल 1 सी मिला:

1C इंटरफ़ेस पर थोड़ा चलने के बाद, मैंने पाया कि वहाँ बाहरी प्रसंस्करण मॉड्यूल हैं। उन्हें इंटरफ़ेस से लोड किया जा सकता है, और उन्हें क्लाइंट या सर्वर पर अधिकारों और सेटिंग्स के आधार पर निष्पादित किया जाएगा।

मैंने दोस्तों 1C प्रोग्रामर को ऐसी प्रोसेसिंग बनाने के लिए कहा जो एक स्ट्रिंग ले और इसे निष्पादित करे। 1 सी में, प्रक्रिया का लॉन्च कुछ इस तरह दिखता है (इंटरनेट से लिया गया)। सहमत हूँ, 1 सी भाषा का वाक्य विन्यास रूसी भाषी व्यक्ति को अपनी छाप के साथ मारता है?

प्रसंस्करण पूरी तरह से निष्पादित किया गया था, यह पता चला कि पेंटेस्टर्स "शेल" को क्या कहते हैं - इंटरनेट एक्सप्लोरर इसके माध्यम से लॉन्च किया गया था।

इससे पहले, सिस्टम का पता मेल में पाया गया था, जो आपको क्षेत्र में पास करने का आदेश देता है। मैंने मामले में एक पास का आदेश दिया मुझे वाईफाई के माध्यम से हमले के वेक्टर का उपयोग करना होगा।

इंटरनेट पर, वे कहते हैं कि ग्राहक के कार्यालय में अभी भी एक स्वादिष्ट मुफ्त खानपान था, लेकिन मैंने अभी भी एक दूरस्थ साइट के माध्यम से एक हमले को विकसित करना पसंद किया है, यह शांत है।

AppLocker Citrix के साथ एप्लिकेशन सर्वर पर सक्रिय हो गया था, लेकिन यह बाईपास हो गया था। वही Metpreter लोड किया गया था और DNS के माध्यम से शुरू किया गया था, क्योंकि http (s) संस्करण कनेक्ट नहीं करना चाहते थे, और मुझे तब आंतरिक प्रॉक्सी पता नहीं पता था। वैसे, इस क्षण से, बाहरी पेंटेस्ट अनिवार्य रूप से आंतरिक में बदल गया।

भाग 4. उपयोगकर्ताओं के लिए व्यवस्थापक अधिकार - यह खराब है, पी-नैट्नेंको?

एक पेंटेस्टर पहली बात यह है कि जब वह एक डोमेन उपयोगकर्ता के सत्र का नियंत्रण लेता है, तो वह डोमेन में अधिकारों के बारे में सभी जानकारी एकत्र करता है। एक ऐसी उपयोगिता है BloodHound, जो स्वचालित रूप से आपको डोमेन नियंत्रक से LDAP प्रोटोकॉल के माध्यम से उपयोगकर्ताओं, कंप्यूटरों, सुरक्षा समूहों के बारे में जानकारी डाउनलोड करने की अनुमति देती है, और उपयोगकर्ता हाल ही में लॉग इन किया है और कौन एसएमबी के माध्यम से स्थानीय प्रशासक है, इसके बारे में जानकारी।

डोमेन व्यवस्थापक विशेषाधिकारों को पकड़ने की एक विशिष्ट तकनीक नीरस कार्यों के एक चक्र की तरह सरल लगती है:

हम डोमेन कंप्यूटर पर जाते हैं, जहां पहले से कैप्चर किए गए डोमेन खातों के आधार पर स्थानीय व्यवस्थापक अधिकार हैं।
Mimikatz , Kerberos NTLM , . lsass.exe . Windows 2012R2/Windows 8.1 .
, . . - .

1C प्रोग्रामर के रूप में "साइकिल का अंत" यहां लिखा जाएगा।

इसलिए, हमारा उपयोगकर्ता विंडोज 7 के साथ केवल एक होस्ट पर एक स्थानीय प्रशासक निकला, जिसका नाम "VDI", या "वर्चुअल डेस्कटॉप इन्फ्रास्ट्रक्चर", व्यक्तिगत वर्चुअल मशीन था। संभवतः, VDI सेवा के डिज़ाइनर ने अनुमान लगाया कि चूंकि VDI उपयोगकर्ता का निजी ऑपरेटिंग सिस्टम है, इसलिए उपयोगकर्ता को सॉफ़्टवेयर वातावरण को बदलने दें, जैसा कि आप चाहें, आप अभी भी होस्ट को "पुनः लोड" कर सकते हैं। मैंने यह भी सोचा कि, सामान्य तौर पर, विचार अच्छा है, मैं इस व्यक्तिगत VDI होस्ट में गया और वहां एक सॉकेट बनाया:

मैंने वहां OpenVPN क्लाइंट स्थापित किया, जिसने इंटरनेट के माध्यम से अपने सर्वर पर एक सुरंग बनाई। ग्राहक को डोमेन प्रमाणीकरण के साथ बहुत ब्लू कोट के माध्यम से प्राप्त करना था, लेकिन ओपनवीपीएन ने नकल की, जैसा कि वे कहते हैं, बॉक्स से बाहर।
VDI OpenSSH पर स्थापित। खैर, वास्तव में, एसएसएच के बिना यह विंडोज 7 क्या है?

इस तरह यह जिंदा दिखी। मैं आपको याद दिलाता हूं कि यह सब Citrix और 1C के माध्यम से किया जाना है:

पड़ोसी कंप्यूटर तक पहुंच को बढ़ावा देने की तकनीकों में से एक मैच के लिए स्थानीय प्रशासकों के पासवर्ड की जांच कर रहा है। यहां भाग्य अभी इंतजार कर रहा था: डिफ़ॉल्ट स्थानीय व्यवस्थापक का NTLM हैश (जिसे अचानक प्रशासक कहा जाता था) ने पड़ोसी VDI होस्ट से संपर्क किया, जिसमें पास-पास-पास हैश हमले के माध्यम से कई सौ थे। बेशक, हमला तुरंत उन पर चला गया।

तब वीडीआई प्रशासकों ने खुद को दो बार पैर में गोली मार ली:
पहली बार VDI मशीनों को LAPS द्वारा कार्रवाई में नहीं लाया गया था, अनिवार्य रूप से एक ही स्थानीय व्यवस्थापक पासवर्ड को उस छवि से सहेजना था जिसे VDI में बड़े पैमाने पर तैनात किया गया था।
— , pass-the-hash . , , — .

उस विंडोज पर SSH सेवा क्यों? बहुत सरल: अब ओपनएसएसएच सर्वर ने न केवल उपयोगकर्ता के काम में हस्तक्षेप किए बिना एक सुविधाजनक इंटरैक्टिव कमांड शेल प्रदान किया, बल्कि वीडीआई पर एक मोजे 5 प्रॉक्सी भी दिया। इस मोज़े के माध्यम से, मैं एसएमबी के माध्यम से जुड़ा और इन सभी सैकड़ों वीडीआई मशीनों से कैश किए गए खातों को एकत्र किया, फिर ब्लडहाउंड ग्राफ़ में डोमेन व्यवस्थापक के लिए मार्ग की तलाश की। अपने निपटान में सैकड़ों मेजबानों के साथ, मैंने इस तरह से बहुत जल्दी पाया। डोमेन व्यवस्थापक अधिकार प्राप्त किए गए हैं।

यहां इंटरनेट से एक तस्वीर मिलती है, जो एक समान खोज दिखाती है। लिंक दिखाते हैं कि प्रशासक कौन है और कहां दर्ज किया गया।

वैसे, परियोजना की शुरुआत से स्थिति याद रखें - "सामाजिक इंजीनियरिंग लागू न करें।" इसलिए, मैं विचार करने का प्रस्ताव करता हूं कि यह पूरा बॉलीवुड विशेष प्रभाव से कट जाएगा, अगर कोई भी फ़िशिंग फ़िशिंग लागू नहीं कर सकता है। लेकिन व्यक्तिगत रूप से मुझे यह सब करने में बहुत दिलचस्पी थी। मुझे आशा है कि आप इसे पढ़ने में रुचि रखते थे। बेशक, हर परियोजना इतनी पेचीदा नहीं लगती है, लेकिन समग्र रूप से काम बहुत पेचीदा होता है और यह स्थिर नहीं होता है।

शायद, किसी के पास एक सवाल होगा: खुद की रक्षा कैसे करें? यहां तक कि इस लेख में, कई तकनीकों का वर्णन किया गया है, विंडोज प्रशासक उनमें से कई के बारे में भी नहीं जानते हैं। हालाँकि, मैंने उन्हें हैक किए गए सिद्धांतों और सूचना सुरक्षा के उपायों के परिप्रेक्ष्य से देखने का प्रस्ताव दिया है:

पुराने सॉफ़्टवेयर का उपयोग न करें (शुरुआत में Windows 2003 याद रखें?)
अनावश्यक सिस्टम चालू न रखें (मूत्र रोग विशेषज्ञ की साइट क्यों थी?)
अपने आप को ताकत के लिए उपयोगकर्ता के पासवर्ड की जाँच करें (अन्यथा ~~सैनिकों ...~~ pentesters यह करेंगे )
विभिन्न खातों के लिए एक ही पासवर्ड नहीं है (VDI समझौता)
और दूसरा

बेशक, इसे लागू करना बहुत मुश्किल है, लेकिन अगले लेख में हम व्यवहार में दिखाएंगे कि यह काफी संभव है।

एक बार एक पंचकोण पर, या एक यूरोलॉजिस्ट और रोसकोम्नाडज़ोर की मदद से सब कुछ कैसे तोड़ना है

भाग 1. पोचकिन डॉक्टर

भाग 2. क्या आप अभी भी एन्क्रिप्ट नहीं कर रहे हैं? फिर हम आपके यहाँ पहले से ही जाते हैं

भाग 3. रोसकोम्नाडज़ोर वापस हमला करता है

भाग 4. उपयोगकर्ताओं के लिए व्यवस्थापक अधिकार - यह खराब है, पी-नैट्नेंको?

More articles: