ملاحظات بنتستر: حالات الصيد - 2

نواصل الحديث عن حالات مثيرة للاهتمام في عمل pentesters. في آخر مشاركة ، تحدثنا عن اختبار الاختراق الخارجي ، اليوم سنتحدث عن أكثر الآفات الداخلية إثارة للاهتمام التي قمنا بتنفيذها مؤخرًا. جوهرها هو أنه ينبغي لنا ، في المحيط الداخلي للعميل ، الحصول على أقصى الامتيازات في المجال والوصول إلى أي بيانات مهمة. حدث أن تفاجأ. لكن أول الأشياء أولا.

الحالة 1. مدير كلمة المرور جيد ، لكن يجب أن يكونوا قادرين على استخدامه

لقد أجرينا اختبارات الاختراق الداخلي لعميل كبير سبق له تدريب مسؤولي النظام وخدمة IS. خلال العمل ، تلقينا العديد من الحسابات التي تمكنا بالفعل من الدخول على الشبكة والاتصال بأجهزة المستخدمين الآخرين. في مرحلة ما ، استقروا في سيارة أحد مسؤولي النظام ووجدوا eldorado هناك. استخدم مسؤول النظام كلمات مرور معقدة بالفعل (سيكون من الصعب العثور على تلك الكلمات) وحتى تخزينها في keepass. ولكن هذا هو الحظ السيئ: لم يتم حظر مدير كلمة المرور نفسه أبدًا - ليس بعد 15 دقيقة أو وقت قفل الشاشة. مع هذه المكافأة ، حصلنا على حقوق إدارية في أنظمة العملاء المهمة دون ضجيج أو تراب.

وكان عميل آخر حالة مماثلة. كلمات مرور معقدة أيضًا ، keepass أيضًا ، رغم أنه لا يزال هناك قفل تلقائي بعد 15 دقيقة. كيف يمكننا استخدام هذا؟ انتظروا حتى قام المسؤول بتأمين سطح المكتب وغادر (لتناول طعام الغداء؟). ثم كانت مسألة صغيرة.

إذا كنت تستخدم مديري كلمة المرور ، فاستخدمهم بحكمة - قم بتشغيل خيار القفل باستخدام شاشة قفل وفي حالة عدم وجود نشاط لمدة 1-5 دقائق.

الحالة 2. تم استبعاد الموظفين

غالبًا ما نتمكّن من الوصول خلال عمليات البحث الداخلية عن طريق تحديد كلمات المرور - عادةً ما يكون المستخدمون كسولين جدًا في الخروج بمجموعات معقدة ، خاصةً عندما تتطلب سياسة كلمة المرور تحديثها كل شهر. غالبًا ما تتغير الأرقام - لذلك ، يتحول superpassword_03.2019 بعد شهر إلى superpassword_04.2019 ثم يتراجع إلى أسفل القائمة.

لكن في بعض الأحيان يأتي العملاء عبر اللون الأزرق. لذا ، عند إجراء هجوم برش بكلمة مرور في إحدى الشركات ، حصلنا على عدد من الحسابات وكان أحدها مثيرًا للاهتمام بشكل خاص: كانت تتمتع بحقوق واسعة إلى حد ما ، على الرغم من أنها ليست حقوقًا إدارية. تم تعيين كلمة مرور سهلة لها (qaz12345) ، وتشير التعليقات على هذا الإدخال في م إلى أنه تم فصل الموظف - وفقًا للتقرير ، قبل عام تقريبًا. أي أنه بعد الإقالة ، لم يتم حظر الحساب ، ولكن ببساطة إعادة تعيين كلمة المرور إلى "الافتراضي" وتعيين خيار "تغيير كلمة المرور عند تسجيل الدخول الأول". من أجل سعادة العميل ، كنا أول من تمت دعوته للقيام بذلك.

حالة 3. بقع؟ لا ، لا

الجزء الأصعب من pentest الداخلي هو الحصول على الحساب الأول. هناك العديد من الأدوات والطرق للقيام بذلك ، بدءًا من عرض أزياء تجسسي في المكتب يبحث عن ملصقات عزيزة مع كلمات مرور ويلتقط المصاب من خلال شبكة Wi-Fi مستنسخة ، تنتهي بهجمات على Kerberos وتكسير حسابات كلمة المرور. ولكن في بعض الأحيان حتى مع الفحص الأولي ، يمكنك العثور على برنامج لم يقم أحد بتحديثه منذ عشرة آلاف عام (لماذا تهتم بتحديث البرنامج في البنية التحتية الداخلية؟).

في أحد هذه المشاريع ، واجهوا برنامج إدارة من HP ، حيث تم العثور على RCE بدون مصادقة - حيث حصلوا على جزء منه في الحسابات.

¯ \ _ (ツ) _ / ¯

يبدو أن كل شيء سيكون أكثر بساطة - Mimikatz ، والأمر موجود في القبعة ، لكن اتضح أن الحسابات التي تلقيناها لا تمتلك الامتيازات التي نحتاجها. كما يقولون ، فإن قوتنا في الاستعداد للسحابة: باستخدام سحر nmap و smb-enum-script ، اكتشفنا أن أحد الحسابات لديه حقوق المسؤول المحلي على خادم الاختبار ، والتي شارك فيها مسؤولو المجال بنشاط في تلك اللحظة =).

حالة 4. أقفال

أخيرًا ، دعنا نتحدث قليلاً عن حظر الوصول المحتمل. العمل على "vnutryanka" التي نقوم بها في معظم الأحيان مع الوصول عن بعد. يبدو المخطط كما يلي: نحن نتصل بشبكة VPN ، ونحصل على العنوان الداخلي ، ثم نتشبث بالجهاز المخصص لنا عبر RDP. ومع هذه الآلة ، بدأنا بالفعل في تنفيذ العمل ، لكن من أجل هذا نحتاج إلى نقل أدواتنا بطريقة أو بأخرى. يستخدم العديد من عملائنا خوادم بروكسي بها قوائم بيضاء للمواقع ، وأحيانًا مع قوائم بيضاء للمنافذ ، للوصول إلى الإنترنت (على سبيل المثال ، يمكنك الاتصال بموقع ويب باستخدام المنفذ 80 ، ولكن لم يعد بإمكانك الاتصال بـ 8081). هذا يجعل العمل أكثر صعوبة بعض الشيء ، خاصة إذا كان نسخ اللصق من خلال RDP محظورًا.

ولكن أين في أعمالنا دون فروق دقيقة. كان لدى أحد العملاء قواعد صارمة للغاية ولم يُسمح لنا بملء أدواتنا بطريقة رسمية ، لذا ، فقد منعوا الاختراق من خلال "المدخل الرئيسي". مثل ، إليك آلة افتراضية وأقل حقوق لك - تعاني مثل المتسللين الحقيقيين.

لم أكن مضطراً للمعاناة لفترة طويلة. لقد حظر الوكيل حقًا كثيرًا ، لم يكن من الممكن حتى الاتصال بخادم http الخاص به (لم يكن موجودًا في القوائم البيضاء) ، وتم حظر نسخ النسخ ورفض المتصفح الذهاب إلى أي مكان باستثناء http (80 / tcp) و https (443 / tcp) و في مكان ما عدا البوابات الداخلية. لقد جربنا استخدام بوويرشيل - إنه لا يعمل أيضًا ، لا يعمل بدون وكيل ، ويحظره الوكلاء. لكن الأداة المساعدة FTP المضمنة في Windows تعمل بشكل جيد - لم تكن هناك قواعد على جدار الحماية تمنع حركة المرور هذه. لذلك جرنا جميع أدواتنا داخل المحيط ويمكننا القيام بعمل رائع.

في النهاية

سأكرر التوصيات الواردة في الجزء السابق ، لأن التكرار هو أم التعاليم المتعثرة . قم بإجراء اختبار تغلغل دوري - سوف يساعدك في العثور على نقاط حساسة في دفاعك ، على سبيل المثال ، في الحالة 3. قد ترى أنه ليس من الضروري تصحيح الأنظمة في المحيط الداخلي ، ولكن في بعض الأحيان يؤدي ذلك إلى عواقب وخيمة.

قم بإنشاء نظام لإدارة التصحيح - لا يقتصر على إزالة ثغرات "عالية التعريف" (مثل EternalBlue أو BlueKeep) ، ولكن أيضًا أقل شهرة ، ولكن ليس أقل خطورة في حالة تشغيلها (كما هو الحال مع HP AM). باختصار ، تتبع جميع النظم الخاصة بك.