我得到了所有的好处。 我已经在网络内部。 我毫不怀疑。 但是他们发现了我的黑客,被踢出了网络……并进行了物理跟踪。
许多渗透测试从外部开始,以检查如何克服周长。 这次,客户希望查看已经设法进入组织内部的攻击者能走多远。 如果我已经在线了,他们怎么能阻止我?
因此,他们秘密地将我带入办公室,伪装成新员工。 他们给了我一台可以使用的计算机,一个徽章,一个系统中的帐户……该死,我什至有一个自己的摊位,上面有一个虚构的名字。 唯一知道我的真实身份的人是他们的信息安全主管。 其他人都认为我是市场营销部门的杰里米。
智商
在第一天的大部分时间里,我忙于申请工作,结识同事以及进行肮脏的工作的程序。 但是我必须迅速采取行动。 对于所有内容,我只有一个星期,而且我必须有时间破解所有内容而不会引起怀疑。 所以我开始做生意。
为了使您理解:大多数渗透测试非常简单。 最困难的事情是闯入网络。 但是一旦进入内部,您将获得广泛的目标:旧计算机,默认密码,每个人都坐在本地管理员的控制之下。通常我在一两天内就会获得一个域管理员帐户,然后不久便是组织管理员。 剩余时间用于掩盖轨道并收集攻击可能造成的后果的证据。 但是这次却有所不同。 现在该感到惊讶了。
坐在电脑旁,我假装正在工作。 我本来打算用我的办公室计算机研究,研究其他工作站的设置,但是我不会直接对其进行攻击,以免留下痕迹指向我。 取而代之的是,我带来了另一种用于黑客攻击的设备:一台装有Linux和一堆黑客工具的个人笔记本电脑。 我将其连接到网络并获得了IP地址。 他们的
NAC并未覆盖整个网络:来自工作间的任何连接都是值得信赖的。
我照常开始。 截取并分析来自Wireshark的网络流量,更改了我的笔记本电脑的MAC地址和名称,以使其在其基础结构中丢失并且看起来像普通设备。 然后-使用子网中的Responder捕获哈希并破解密码。 很快,我设法收集了少量的哈希。 我当时是在工作人员的常规子网中,所以有许多登录帐户,这些帐户具有打开的浏览器,其中分散了身份验证数据。
首先的惊喜
我开始在包含8个视频卡的服务器场中搜索发现的哈希,但是...出了点问题。 很快,检查了所有8个字符的大写和小写字母,数字和特殊字符(NetNTLMv2)的组合。 我会立即破解最常用的密码(一个单词,第一个大写字母以数字或符号结尾)。 但是不在这里。
我可以在工作站上运行网络帐户,直接在AD中查看密码策略,但是首先我决定去别处。 我不想留下多余的痕迹。 在网络中翻阅后,我设法找到了安全性要求。 原来,密码的最小长度(应该包括大写和小写字母,特殊字符和数字)为12个字符。 他们已经开始过渡到密码短语...我更改了蛮力规则,以使用更长的单词,大写字母以及数字和特殊字符的结尾。 它给我带来了一些密码!
好酷! 走吧 我立即尝试使用他的密码...远程登录用户的计算机,并被阻止。 什么... 一直有效。 密码正确。 但是访问是封闭的。 我仔细检查了一下。 从基础开始。 做对了。 寻找域控制器花了一些时间。 在VoIP电话上,有一些配置了他的地址的网页配置。 我通过LDAP从控制器中拉出了组策略属性以查看特权。 在大量的设置中进行了长期挖掘之后,我意识到只有一小部分IT专家甚至整个IT部门都不允许远程访问。 而且我没有破解他们的任何密码。 他们实施了最小特权模型……这是谁?
好吧,去死吧 我将在不访问计算机的情况下进行管理。 我将处理他们的信件! 所以我做到了。 我在Outlook中寻找邮件中的密码,Skype聊天,已检查的便笺和草稿。 我从任何东西中都得到了一堆个人密码...但是从服务帐户中却没有一个。 但是我从信息安全部门收到一封信,信中说他们计划在一周内为邮件引入两因素身份验证。 看来我还是很幸运。
任何系统的最弱点
然后我去了
SSO门户 。 所有内部应用程序都集中在一个地方。 黑客的梦想! 我单击了其中一个应用程序。 它需要两步验证。 下一个也是。 和以下。 那是什么样的恶魔? 黑客的噩梦!
我看到他们正在使用Citrix。 他支持两因素身份验证,很好,也不在乎。 我会解决的。 Citrix将使我可以访问内部服务器。 我需要进入内部主机才能删除我的黑客笔记本电脑,并开始在网络上进行升级。 我以6位数的密码请求启动了Citrix。 有一个按钮,上面写着“单击以接收令牌”,并稍加编辑了电话号码:(xxx)xxx-5309。 在邮件中搜索“ 5309”后,我发现了用户的签名,其中完整地标明了该电话号码。 我打给他
女人回答。 “下午好,帕姆。 我是乔的乔什。 我们正在将您的Citrix配置文件迁移到新服务器。 我现在给您发送一个6位数的号码。 我需要你读给我听。 以防万一,我提醒您,我们从不要求您提供密码。” 我已经有她的密码了。 她犹豫了一下:“ Goodooo ...”,我按下了按钮以发送身份验证令牌,然后说道:“完成。 我给您发送了一个号码,请在收到后给我念。” 她回答:“嗯……是的,我做到了。 9-0-5-2-1-2”。 “谢谢你! 请不要运行Citrix几个小时!” 计时器在屏幕上计时60秒。 我在两因素身份验证窗口中键入数字,然后单击“确定”。 已登录。 走树桩,两要素认证! 一进去,我什么都没看见。 没事! 该用户不需要Citrix,因此没有附加任何内容。 我侵入了后室。
所以 太疯狂了 我可能会选择一个长密码,但前提是我幸运地抓住了正确的哈希。 即使密码被黑,一小部分人也必须绕过两因素身份验证。 每次尝试,特别是与来自该受保护组的某人进行的尝试,都会增加被发现的风险。 该死的...
我尝试了一切。 我发起了越来越多的侵略性扫描,但仍试图保持低调。 我感觉到了整个网络和所有能够找到的服务,以及我所知道的所有攻击。 尽管在这里到那里我发现了一些小东西,但这不足以在某个地方立足。 我开始陷入绝望。 第二天已经结束。 通常,这时我已经检查了数据库,阅读了CEO的邮件,并在网络摄像头上开枪射击了人们。 妈的 现在是时候进入IT人员的行列了。 我要偷笔记本电脑。
夜袭
我下班后流连忘返。 同事们说,有必要完成有关职业安全的课程。 他们点点头,甩了。 然后清洁工来了。 他们完成后,我独自一人。 我去了IT人员办公室。 找到了门。 环顾四周,我抓住了手柄...
在此之前,我已经使用办公笔记本电脑尝试了其他操作,但是我不是本地管理员,并且磁盘已完全加密。 我的目标是找到一个带有本地管理员密码哈希值的旧未加密笔记本电脑。
我检查了大厅,所以没人在附近。 我在天花板上扫描了安全摄像机。 我张开嘴,歪着头,听到有人从拐角处来。 没事 我准备行动了。 我准备在机械锁中四处摸索,处理电子门禁系统或从铰链上卸下门,但是我发现门半开。 好幸运 门上有电子锁和机械锁。 甚至是受保护的循环。 但是那天晚上有人发现了她。 我打开门,看了一眼,希望撞到里面的人。 没有人 来吧 只是灰尘。 我进去了
我不知道为什么要打开门,但是我80%的工作是用户错误,56%是技能,63%是适应性,90%是功能使用,80%是运气。 而且只有约1%与数学有关...
反正 我不知道是否有人会在任何时候回到这里,所以我着手工作。 在角落里放着成堆的不同年龄,制造商和型号的笔记本电脑。 在权衡了陷入IT人员办公室或在桌上放着一堆笔记本电脑的风险之后,我选择了我的书桌。 现在,我将一大堆旧笔记本电脑从IT孔拖入我的小隔间,将比萨斜塔折叠在我的办公桌下面。 然后,我开始有条不紊地尝试从闪存驱动器引导每台笔记本电脑,以寻找未加密的圣杯。
我有一个带有Kali和samdump2实用程序的可启动闪存驱动器。 我将其连接到其中一台笔记本电脑,加载并尝试安装硬盘驱动器。 每次遇到加密时,我都会感到越来越沮丧。 最终,在经过30台经过测试的笔记本电脑后,我发现三个未加密驱动器的半死角。 使用samdump2,我从SAM中提取了本地NTLM哈希并进行了比较。 因此,有可能在所有三台计算机上找到本地管理员“ ladm”的非标准帐户。 哈希匹配。 荣耀
Eris ,他们不使用
LAPS 。 在所有计算机上,本地管理员的帐户均相同。 我很容易破解了这个哈希。 密码是<公司名称> <年份>,今年已经过去了几年。 资产管理中的错误。 我喜欢
我尝试使用新帐户远程登录,并得到与以前相同的错误。 甚至本地管理员也被拒绝远程访问...我试图本地登录到自己的办公室笔记本电脑,我成功了! 此帐户规避了完全加密! 万能钥匙! 所以...太好了! 您可以利用这个! 但是后来我发现一件奇怪的事情……我没有访问用户数据的权限。 什么啊 他们限制访问,甚至对于本地管理员也是如此! 地狱 有必要增加对系统的特权。
我尝试了所有想到的技巧。 最后,我查找了未
引用的服务路径漏洞,并找到了两个! 但是结论是我的本地管理员没有对所需文件夹的写权限。 是的,放下它! 那时我已经筋疲力尽了。 我的17小时轮班结束了。 大脑不再起作用。 这是另一个死胡同。 为避免失败而进行的一系列艰苦奋斗和成功的黑客攻击。 第二天他必须回家睡一会儿再开始。
打电话给朋友
第二天,我再次检查了所有内容,以确保我没有错过任何东西。 我检查了我可以检查的所有内容,扫描了我可以扫描的所有内容,做了我想到的所有事情。 到处都是小的线索,但没有任何价值。 我给
达拉斯黑客公司的同事打了电话。 在向他介绍了我的磨难之后,我最终对Unquoted Service Path漏洞寄予了希望,结论表明我缺乏必要的特权。 他问:“尽管如此,您仍然尝试利用它吗?” 我冻结了 我没有尝试过。 在那种状态下,我相信这个结论,而我自己并没有检查它。 好啊 我试图将数据写入目录。 根据Windows,我没有权限对其进行写入。 而我做到了。 该死的Windows。 我又被骗了。 但是,好吧。 这是死定了。 新线索。
一位同事迅速向我扔了一个C语言的引导程序,该引导程序在Powershell上启动了负载。 我冒险在自己的计算机上检查该捆绑包,一切似乎都工作正常。 这是不正当的攻击。 但这就是我所拥有的。 我本来打算:
- 在我的黑客笔记本电脑上运行监听器
- 物理访问办公室中的笔记本电脑
- 以本地管理员身份登录
- 在Unquoted服务路径中下载您的Malvari束
- 外出
- 等待用户登录并加载开始
午休时间快到了。 我微笑着回应同事的邀请去吃点心,并徘徊了一点。 最初,我计划去拜访IT人员,并在他们吃午饭时使用他们的一台计算机。 但是当我去他们的办公室时,我看到他们都准备就绪! 在电脑前吃午饭! 他们不知道这有多有害吗? 缺乏工作和休息的分离以及缺乏休息会如何导致压力? 他们为什么不像普通人一样吃饭?
是的,你去。 我要入侵计算机。 任何计算机。 我在办公室里走来走去,发现那里没有人的办公室。 金融家。 好的,破解财务。 我回答了一个可爱的矮小的老妇人的事情,她回来为她的钱包。 让她知道我是一名IT技术员,正在更新计算机。 她点点头,甜蜜地微笑着离开了。 我很恼火,满脸仇恨和高兴,我转向她同事的一台电脑,并侵入其中。
花了不到30秒。 我将椅子和鼠标恢复到我到达之前的状态。 我再次快速看了一眼,确保一切看起来正常。 然后他回到了工作场所。 坐在凝视着你的听众。 有一次,午餐结束了。 我什至不想说话。 我已经开始失去希望了,我看到了:
> Meterpreter session 1 opened然后...
> Meterpreter session 2 opened
> Meterpreter session 3 opened
...
> Meterpreter session 7 opened你左! 我运行GETUID并看到NT AUTHORITY \ SYSTEM。 三哈!
好啊 太好了! 这样啊 嗯...走吧! 是的 在修复了系统之后,我转储了内存并开始深入研究文件系统。 某种财务信息。 一些密码是明文的。 敏感信息,但没什么严肃的。 但是,哦。 这仅仅是开始。 桥头堡。 然后...
> Meterpreter session 1 closed我尝试坚持会议,但它们都关闭了。 我ping系统无响应。 我将扫描端口445。 没事 该系统不可用。 那个 哦 太多了 我起身直接去财务部门。 我的贝壳出了什么事?
在拐角处,我看到一个可爱的老妇人正在与最沉重,最凶猛的IT人员交谈。 我迅速做“哦,哟……”,当老妇人朝我的方向看时转过身,将手指直接指向我,然后大喊:“就是这样! 他在弄乱我们的计算机!” 我发出令人心碎的尖叫声,奔向奔跑。 拒绝了这位残酷的IT专家,我朝相反的方向奔跑,偶然发现了两名保安人员。 他们看起来非常不友好,并清楚地表明我徘徊在错误的地方。 我醒来时鲜血淋漓,被绑在一根符合人体工程学的办公椅上,系上扎带,他们将服务器室中的电缆拉在一起。 DFIR的负责人站在我面前,她的指关节被撞倒了。 在她身后,来自入侵检测小组的一小撮分析师咧嘴笑了。 我挤出一个字……我需要知道……“怎么……?” 她俯身在我耳边轻声说:“财务部门没人启动过Powershell ...”
好吧...最后我加了一点话剧。 但是,关于我如何遇到一位老太太将我交给IT专家的故事是真实的。 他们把我拘留在那里。 他们拿走了我的笔记本电脑,并向管理层报告了我的情况。 信息安全总监来确认我的存在。 他们弄清楚我的方式也是真实的。 他们被告知,Powershell运行在不属于少数在正常情况下启动Powershell的IT人员和开发人员的系统上。 一种简单可靠的异常检测方法。
结论
蓝队
红队