@vifromcp

Управление уязвимостями как направление пентеста

2023-08-27T16:22:43.369Z

Как вы можете наблюдать из статьей данного канала, мы рассматриваем разные направления пентеста и кибербезопасности в целом. Так вот, одно из популярных и относительно новых направлений стало "управление уязвимостями" или "Vulnerability Managment".

Что же это такое за направление? Когда у вас большая компания, вы ресурсно не сможете проверять каждую машину и проводить пентесты. А уязвимости позволяют размножаться. Чтобы этого не допускать, было создано направление управление уязвимостями.

Человек, который хочет работать в этом направлении должен более ориентироваться в пентестах, нежели в защите, потому что тут речь идет как раз об уязвимостях и их влиянии на компанию.

Управление уязвимостями предполагает использование сканеров уязвимостей, которые способны анализировать всю инфраструктуру. Чаще всего такие сканеры являются коммерческими, архитектура их основывается на наличии агентов, которые "ходят" по инфре и чикают АРМы.

Примерами таких сканеров являются MaxPatrol VM, Qualys.

Но на сканировании всей инфраструктуры процесс не останавливается. Мало выявить уязвимости, надо их устранять. После выявления уязвимостей сканером, ставятся задачи на администраторов Windows/Linux на устранение уязвимостей.

В компаниях также присутствует документ чаще всего называемый "Процесс управления уязвимостей". В этом документе описаны сроки устранения различных уязвимостей в зависимости от критичности уязвимости и где она находится - на внешней периметре или все-таки внутри сети. Уязвимости на внешнем периметре являются более критичными, так как они "смотрят" в интернет, соответственно заэксплуатировать их может любой злоумышленник. Уязвимости, находящиеся внутри сети, являются уже менее критичными (но их нельзя совсем убирать из виду), но перед тем как дойти до уязвимости внутри сети, надо пробить периметр.

Уязвимости устраняются администратором (ответственным за хост), далее следует проверка устранения уязвимости. На этапе проверки также работает направление управление уязвимостями. Если уязвимость устранена, задача считается завершенной.

Визуально процесс управления уязвимостями можно представить в виде такой круговой диаграммы:

Текущие сканеры, представленные на рынках, вполне себе справляются с задачей управления уязвимостями. У сканеров достаточно часто бывают ложно-положительные сработки, которые могут быть выявлены только в ручном анализе. Для этого специалисту необходимо уметь в пентест, то есть в эксплуатацию уязвимостями, чтобы доказать отсутствие/присутствие той или иной уязвимости.

Направление управление уязвимостями являются пограничной зоной между редтимом и soc-ом. Вы умеете эксплуатировать уязвимости и умеете устранять их.

Методы разведки

2023-08-27T12:26:04.901Z

Когда говорят о разведке в кибербезопасности, подразумевают естественно киберразведку. Это относительно новое направление, которое только-только начинает развиваться.

Здесь может показаться, что термин киберразведка очень схож с уже изученным осинтом. Это не совсем так, поэтому давайте разбираться.

OSINT — разведка, собирающая данные в открытых источниках, но данные преимущественно не технические (сведения о людях, местах, событиях и т. п.), позволяющие выявить индикаторы кибератаки.

Есть еще одно направление, называемое TI (Threat Intelligence). Здесь уже речь о сборе технических данных, в том числе индикаторов компрометации (IOC), способов атак, используемых эксплойтов и уязвимостей. Эти данные предоставляются в виде фида конечному потребителю. Однако Threat Iintelligence не занимается тем, чем занимается осина.

И вот тут-то, на стыке Threat intelligence и OSINT рождается киберразведка. Многие компании/эксперты чаще всего называют киберразведку Threat Intelligence, это НЕ неправильно, просто потому что она берёт немного из OSINT и по максимуму из Threat intelligence. Почему из Threat Iintelligence берётся больше, чем из OSINT? Потому что в последнем есть очень много направлений. OSINT включает и научно‑техническую разведку, и разведку, связанную с визуальными образами, и многое другое. Киберразведке интересно только несколько областей из большого количества направлений разведки по открытым источникам — в первую очередь, всё связанное со взаимодействием с людьми.

Далее идет разделение:

FININT - финансовая разведка. Тут в данном случае киберразведка ограничивается областью криптовалют, поскольку конечная цель — с помощью специализированных методов получить на основе данных Bitcoin-кошелька электронный почтовый адрес, который с ними ассоциирован
SOCINT - разведка по социальным сетям, получение информации по профилям из различных соцсетей.
HUMINT - яркий пример - общение с объектом, задавая ему наводящие вопросы для представления уже предмета разведки.

Киберразведка - это один из наиболее сложных и в то же время важных элементов ИБ в компании. Она помогает выстроить надёжную систему защиты с опорой на информацию о хакерских группировках, атаки которых направлены против компаний в конкретном регионе или определённой сфере деятельности.

Существует три уровня киберразведки.

Стратегический - закачики (топ-руководители компании) должны оценить совокупность киберугроз и риски для бизнеса. Результат - изменения в информационной политике компании
Операционный - средний менеджмент компании должен пересмотреть цели и обеспечить выполнение задач. Сюда также относится пресечение вторжений и обеспечить устранение изъянов в компании
Тактический - разведка проявляется в применении различных тактических приемов, методик и процедур. Эти пункты помогают выявлять угрозы и противостоять им.

В принципе как и во всех практиках кибербезопасности многое зависит от выбранной стратегии (или как это модно называть - вектора). Но если один вектор не сработал, это не означает, что не надо прибегать ко второму и так далее. Необходимо проэксплуатировать все варианты.

Взлом мессенджеров

2023-08-25T13:53:16.940Z

Очень часто поступают вопросы про возможно ли взломать мессенджер? На самом деле, к справедливости сказать, сейчас разработчики достаточно серьезно относятся к вопросу безопасности мессенджеров, ибо именно через них проходят тонны информации, как личной, так и коммерческой, ведь многие компании ведут переписки в том же телеграме.

Но, как бы разработчики не старались, возможности хакеров тоже нельзя умалять. Вот одна из последних новостей по поводу взлома мессенджера WhatsApp.

Злоумышленник может получить доступ к чужому аккаунту WhatsApp, подсунув жертве собственный QR-код для авторизации в веб-версии мессенджера. Для авторизации в веб-версии WhatsApp пользователь должен при помощи мобильного приложения отсканировать QR-код, который отображается на экране компьютера при переходе по ссылке web.whatsapp.com. Если злоумышленник заставит жертву отсканировать QR-код, сгенерированный на своем компьютере, то он получит доступ к чужому аккаунту

Также распространена следующая схема угона аккаунта. Человек с доверенностью идет салон связи и оформляет себе новую сим-карту с номером жертвы, убеждая сотрудников салона связи о том, что номер потерялся, вот доверенность и прочими правдами-неправдами. В итоге, не проинформированные сотрудники салона связи, выдают сим-карту и хакер спокойно угоняет аккаунты, а вернуть их достаточно сложно. Противодействие этому - сходить в салон связи и спросить, какие документы надо подписать, чтобы запретить при любых ситуациях выдавать сим-карту по вашему номеру.

В плане эксплойтов, в отношении мессенджера достаточно проблематично создать такой экслойт, поскольку мессенджеры чаще всего используются в мобильных телефонах. Поэтому тут работает по большей части социальная инженерия)

Взлом мессенджеров - это достаточно расплывчатая тема, гораздо более абстрактная нежели пентесты общеизвестные - инфраструкрные и веб, в силу того, что тут прямое участие принимает социальная инженерия и доверие жертвы.

Bug Bounty

2023-08-25T08:57:36.283Z

Рано или поздно любой начинающий специалист задается вопросом "как мне монетезировать свои знания". Бухгалтера устраиваются на удаленное ведение бухгалтерии, беря под свое крыло несколько контор. Кадровики аналогичным образом. А что делать пентестеру, если на данный момент вариант постоянной работы не представляется возможным? Идти в программу Bug Bounty.

Баг баунти (bug bounty) — программа, по которой багхантеры получают от компаний вознаграждение за найденные в их IT-сетях, системах и приложениях уязвимости.

Багхантер (bug hunter) — исследователь безопасности, легально ищущий уязвимости в программном обеспечении.

Вишенка на торте - мы живем в удивительное время, когда такие программы повсеместно! Госкорпорации, бизнес и прочие начинают подавать свои веб-представительства на то, что их легально взломали.

Среди наиболее популярных платформ можно отметить Bugcrowd, HackerOne, Vulnerability Lab, BountyFactory и Synack.

Платформы есть и в странах СНГ: standoff365, bugbounty.ru (Россия), bugbounty.kz (Казахстан), bugbounty.by (Беларусь) и т. д.

Также существует так называемая условная градация багхантеров.

Начинающий багхантер знакомится с теоретическими и практическими основами работы веб-приложений, узнает, что такое информационная безопасность и какие бывают виды атак и уязвимостей. Одновременно с этим он начинает участвовать в программах bug bounty, чтобы заработать рейтинг (багхантеров с высоким рейтингом приглашают в приватные программы с ограниченным количеством участников), получить денежное вознаграждение и опыт.
Опытный багхантер постоянно стремится углублять свои навыки и опыт, активно участвует в публичных и приватных программах bug bounty, посещает тематические конференции, может быть участником команды в соревнованиях по взлому систем с заранее заложенными уязвимостями — Capture the Flag (CTF).
Багхантер с многолетним опытом также участвует в различных программах bug bounty, ищет уязвимости и новые техники их эксплуатации в крупнейших мировых продуктах, выступает на конференциях и делится своим опытом.

Самый популярный вопрос "с чего начать?". Это мы сейчас и рассмотрим. В принципе как в любом деле необходимо сначала изучить основы. В области кибербезопасности основы начинаются с:

ОС — работа с Linux/Windows, командной строкой Bash/PowerShell
программирование — один из языков программирования, например Python, Ruby, PHP, Java, JavaScript, и желательно умение пользоваться отладчиком;
разметка — работа с HTML-разметкой;
СУБД — реляционные PostgreSQL/MySQL;
веб-серверы — конфигурация и эксплуатация Nginx, Apache2;
понимание принципов работы frontend/backend, frameworks;
вспомогательное ПО — BurpSuite, Metasploit, Docker, netcat, sqlmap, nmap, ffuf, dirbuster.

В принципе, этого джентельменского набора знаний вполне себе будет достаточно для старта в карьере багхантера.

Теперь поговорим про выплаты. На самом деле на разных площадках разные ценники. На РУ площадках баг Баунти ценник в рублях, и может достигать 2 миллионов. Все зависит от критичности уязвимости. Чем выше критичность - тем больше вам выплатят.

К примеру, вы нашли SQL-inj, которая выгружает базу администраторов сайта. Ох, тут вам выплатят очень много) А стандартные XSS-ы будут стоит от 10 000 рублей и выше, но согласитесь, для начала очень даже неплохо. И более того гораздо ценнее будет строчка в резюме "Участие в баг Баунти")

Друзья, резюмируя. На все нужно 2 момента: желание и время. Желание даже важнее. Ведь при желании можно найти и время)

Утилиты, указанные в статье будут разобраны в следующих статьях) следите за новостями, зовите друзей, делитесь информацией.

Безопасность Wi-Fi

2023-08-21T13:44:28.185Z

В данной статье мы поговорим о такой технологии как Wi-Fi и о ее безопасности.

Wi-Fi (он же IEEE 802.11)— набор стандартов связи для коммуникации в беспроводной локальной сетевой зоне частотных диапазонов 0,9; 2,4; 3,6; 5 и 60 ГГц. Проще говоря - это беспроводная технология, обеспечивающая доступ в Интернет.

Кафе, гостиницы, торговые центры, аэропорты и многие другие места, предлагающие своим клиентам бесплатный доступ к общедоступным Wi-Fi-сетям, предоставляют удобный способ проверки электронной почты, размещения последних новостей в социальных сетях и просмотра веб-сайтов во время прогулки. Казалось бы, что тут может пойти не так.

Но может. Хакеры часто отслеживают общедоступные Wi-Fi-сети и перехватывают данные, передаваемые по линии связи. Таким образом, преступник может получить доступ к банковским учетным данным, паролям к учетным записям и другой ценной информации пользователя.

К примеру, вы пришли в кафе, подключились к Wi-Fi. Хакеры могут отслеживать все подключения к открытой точке и контролировать пакеты данных

Многие специалисты по информационной безопасности приводят ряд советов, которые могут помочь в том, чтобы ваши данные не улетели, куда не следовало бы.

Любая открытая Wi-Fi точка небезопасна по умолчанию. Этот факт стоит понять и принять.
Очень распространена ситуация, когда общественную Wi-Fi точку подделывают. К примеру, вы пришли в популярное кафе и видите, что в настройках сетей Wi-Fi есть как раз сеть с названием кафе. Вы без сомнений подключаетесь к точке, не подозревая, что вы уже заражены и ваши данные уже утекают.
Используйте VPN. С помощью VPN-соединения при подключении к общедоступной Wi-Fi-сети можно эффективно использовать технологии шифрования данных, проходящих через сеть. Это может помешать киберпреступникам, отслеживающим сеть, перехватить ваши данные.
Также не следует использовать для подключения к такого рода Wi-Fi точкам мобильные телефоны, в силу того, что банковские продукты, карточки и прочая чувствительная информация чаще всего хранится именно в телефонах.
И, конечно же, это обязательно применять антивирусную защиту в мобильных (и не только) устройствах)

Какие технологии, методики и способы используют хакеры для получения данных из вашего телефона при подключении к общественной точке Wi-Fi мы обговорим в отдельной статье про взлом Wi-Fi) Готовьтесь)

Деанон человека по телеграму

2023-08-15T09:17:34.545Z

Деанон человека - это мероприятия, направленные на поиск информации об аккаунте, имея в наличии минимальный набор входных данных. К примеру, как это часто бывает, только ник телеграма.

Деанон - от слова деанонимизация - потеря статуса анонимности.

В какой-то мере деанон так или иначе связан с OSINT-мероприятиями, обсуждаемыми в прошлой статье. Это такой же поиск информации в открытых источниках.

Возможно ли с деанонить человека? Да, все зависит от вашего упорства и полета мысли. С точки зрения человеческого фактора, если нам недостаточно информации, полученной по нику/описанию профиля, то можно войти с человеком в чат, найдя его предпочтения.

Приведу пример. Вам захотелось сдеанонить человека в чате по ландшафтному дизайну. Цели данного деанона - вопрос вашей совести, поэтому мы их опустим. И так, "жертва" определена. И на этом этапе (пока без технических нюансов) мы можем вспомнить о социальном инжиниринге, завещенным нам Кевином Митником. То есть начать общаться с жертвой, войти к ней в виртуальное доверие. На самом деле многие пользователи убеждены, что общаясь в Интернете, они обезопасены и чаще идут на продуктивный контакт, нежели будь данная ситуация в жизни. К тому же это прекрасный повод потренироваться в социальном инжинирнге.

Из технических моментов можно попробовать посмотреть никнейм жертвы в Google, ведь не редки случаи использования одного и того же никнейма в разных социальных сетях и ресурсах. К примеру, вы в телеграме увидели ник Elliott в чате инфобеза. Можно предположить, что человек фанат сериала Мистер Робот, так как там главный герой Elliott. Возможно он проходит различные хакерские площадки для тренировки своих навыков, можно на них и посмотреть таких участников в таким же ником. Этим вы уже по чуть-чуть собираете информацию о человеке.

Кроме ручного поиска информации по нику, можно воспользоваться и инструментом с GitHub-а. Называется он Maigret Osint, скачать и опробовать его можно по ссылочке - кликай тут.

По вектору красивой визуальности и удобности, есть непревзойденный инструмент под названием Maltego.

Он есть и в платной версии и в бесплатной. К слову, бесплатная версия вполне себе функициональна, поэтому для работы ее достаточно.

Maltego анализирует подаваемые данные и строит график связей, где отсвечивала жертва, что очень удобно для определения вектора, куда капать.

Предлагаю вам ознакомиться с данными инструментами в отношении себя и посмотреть, где вы успели засветиться =)

Основы OSINT

2023-08-14T20:06:50.947Z

Всем привет! Мы учли ваши пожелания по постам и решили начать с основ OSINT.

OSINT (Open source intelligence) - разведка по открытым источникам, включающая в себя поиск, выбор и сбор разведывательной информации из общедоступных источников, а также её анализ.

Osint - это не что-то новенькое, это не новое направление в информационной безопасности. OSINT применялся еще во времена Второй Мировой войны службами Британии и США.

Специалисты OSINT используют открытые источники для выявления утечек данных, для идентификация готовящихся угроз, их источников и векторов и многое другое.

Источниками OSINT служат любые открытые данные, такие как новости, блоги, социальные сети, в общем любая информация из Интернета.

Методы OSINT разделяются на активные и пассивные. К пассивным относятся любые методы, которые не предполагают взаимодействия с целевыми системами.

При активном сборе данных специалист по OSINT использует продвинутые техники, предполагающие взаимодействие с целевыми системами, например регистрацию на сайте изучаемой организации с целью получить доступные только зарегистрированным пользователям материалы.

На этом этапе вы можете спросить "А как же технический OSINT?" Да, в одной из предыдущих статей мы говорили, что первая из всех стадий пентеста - это разведка. О технической стороне OSINT-а мы сейчас и поговорим.

Предложить какой-то строгий алгоритм для проведения OSINT-мероприятий не представляется возможным, поскольку это достаточно творческая деятельность. Это как печь торт - у каждого повара свой уникальный рецепт.

Но тем не менее есть универсальные инструменты, которые стоит знать и использовать в своей практике.

Часто бывает такое, что сайт спрятан за Cloudflare или любым другим WAF-ом. Соответственно становится достаточно затруднительно определить IP-адрес. Тут на помощь приходит инструмент под названием dnsdumpster.com.

Если нужна информация по поводу, где искать более подробные моменты касаемо OSINT-разведки, то тут поможет старенький, но информативный ресурс kontragenta.net.

Сейчас очень популярен бот под названием Глаз Бога. Он выдает достаточно полезную информацию о проверяемом человеке.

Ну, и в заключение, не стоит забывать об информативных Google Dorks (гугл-дорки). Google Dorks - это метод сбора и анализа информации, выступающий как инструмент OSINT, является не уязвимостью Google и не устройством для взлома хостинга сайтов. Наоборот, он выступает в роли обычного поискового процесса данных с расширенными возможностями.

Сайт exploit-db выдает много информации по Google Dorks. Можно ознакомиться тут (кликай). Очень рекомендую изучить тем, кто всерьез решил посвятить себя направлению OSINT в мире кибербезопасности.

В заключение стоит упомянуть о том, что на Западе направление OSINT более распространено, нежели в РФ. Но у нас есть прекраснейший человек, который является бывшим сотрудников спецслужб - великий OSINTер Масалович, он же Кибердед. Он выдает много полезной информации, которая может успешно использоваться в мире для расследований и разведки.

Kerberos

2023-08-08T10:07:28.528Z

Для полного понимания работы Active Directory, в том числе для успешных проведений инфраструктурного пентеста необходимо немного глубже изучить Active Directory. И для этого сегодня мы поговорим про технологию Kerberos.

Kerberos – в первую очередь протокол аутентификации, но при этом предусматривающий возможность транспортировки информации необходимой для авторизации.

Для новичков: аутентификация - это процесс проверки подлинности. Авторизация - процесс проверки прав.

К важным понятиям можно также указать Principal - это строка, полностью идентифицирующая участника протокола Kerberos.

Принципал может быть как именем сервиса - Service Principal Name (SPN), так и именем юзера - User Principal Name (UPN).

Пример UPN для пользователя Sonya в домене test.local будет выглядеть так: sonya@test.local

С принципалом сервиса немного сложнее.

Принципал сервиса имеет следующую форму: service-name/host[:port]@REALM, где:

service-name – это строка, идентифицирующая сервис на этом хосте.
host – это доменное имя хоста, на котором работает сервис
port - порт на котором запущена служба.

Пример SPN для сервиса Outlook, который работает на хосте с именем mail.com будет выглядеть так: outlook/mail.com@test.com, где test.com -это область, где данный хост действует.

В структуре Kerberos присутствует Центр Распределения Ключей (KDC). KDC является доверенным центром аутентификации для всех участников протокола Kerberos в рамках определенной области действия.

KDC включает в себя такие компоненты как:

База данных Kerberos, предназначенная для хранения информации о всех принципалах.
Сервер аутентификации - Authentication Server (AS), обрабатывающий запросы на аутентификацию клиентов к области действия протокола Kerberos;
Сервер выдачи билетов - Ticket Granting Server (TGS), обрабатывающий запросы на аутентификацию к определенному сервису, функционирующего в составе указанной области действия.

Давайте для полного понимания происходящего ужаса, проиллюстрируем это на примерах жизни (посещение режимного офиса Компании).

сотрудник приходит в офис, показывает охраннику свое удостоверение сотрудника
охранник проверяет в своей базе, что такой сотрудник действительно присутствует в списках Компании
охранник выдает сотруднику билет на сутки для посещения офиса
сотрудник поднимается на этаж офиса и на этаже подходит к ресепшиону, чтобы получить билет на открытие своего кабинета
администратор ресепшиона проверяет билет, выданный охранником и выдают билет на кабинет
сотрудник показывает ответственному (или прикладывает к турникету) выданный администратором билет и пропускает его в кабинет

Если сотрудник захочет пойти в другой кабинет, он снова идет к администратору ресепшиона и показывает билет, выданный охранником.

А вот как тот же самый алгоритм выглядит для Kerberos.

Клиент отправляет запрос на аутентификацию к области действия.
Сервер аутентификации проверяет подлинность Клиента с использованием Базы данных Kerberos.
Сервер выдает Клиенту Тикет (TGT) на получение отдельных разрешений (ST), требующимся для доступа к сервисам, входящим в область действия.
С использованием полученного на шаге №3 тикета (TGT) Клиент запрашивает тикет на доступ к Сервису А («ST для А»).
Сервер выдачи тикетов проверяет TGT и выдает Клиенту ST для доступа к сервису А.
Клиент с использованием «ST для А» запрашивает у Сервиса А доступ к его ресурсам.
Сервис А проверяет «ST для А» и предоставляет Клиенту доступ к своим ресурсам. При необходимости сервис также проходит аутентификацию перед клиентом.

И последнее о чем сегодня поговорим это про тикеты. Тикет (он же билет) - это временные данные, выдаваемые клиенту для аутентификации на сервере, на котором располагается необходимая служба.

В разных литературных источниках встречаются понятия и Тикет, и билет, и мандат. В профессиональном жаргоне все-таки более употребим термин Тикет.

В следующих статьях мы посмотрим на уже известную нам атаку Pass-the-hash с точки зрения тикетов, а также проговорим про понятия Silver Ticker/Golden Ticket.

AD. Pass-the-hash.

2023-08-08T08:41:29.639Z

И так, в прошлой статье мы познакомились с Active Directory. Теперь обсудим атаки, а именно мы познакомимся с атакой Pass-the-hash.

Перед тем как мы начнем, давайте разберем как выглядят пароли в Windows. Пароли в Windows хранятся в виде хешей, а хеш вполне себе может быть устойчив к взлому, в принципе ради этого и был придуман данный термин.

Но есть нюанс) В некоторых случаях можно вполне себе обойтись и без пароля в явном виде. Вначале научимся извлекать хэш в системе Windows 7 и далее перейдем к серверу Windows Server 2016. Пользователь, чей хэш мы будем получать, должен иметь административные привилегии и быть авторизованным на обеих машинах. В качестве рабочей среды будет использоваться Kali Linux.

Для начала разберемся из чего состоит хеш. В Windows хеш выглядит примерно так:

admin4:1000:aad3b435b51904eeaad3b423b51404ee:7179d3046e7ccfac0469f95588b6bdf6:::

Как мы можем увидеть строка состоит из четырех частей, которые разделены между собой двоеточиями. Первая часть - имя юзера. Вторая - относительный числовой идентификатор.

Интересное начинается с третьей части. Третья часть - это LM-хеш. Самостоятельно он перестал использоваться с версии Vista, поскольку взломать его не составляет труда.

Четвертая часть - это NTLM-хеш. Он используется уже в современных версиях системы и более устойчив к взлому.

Как только юзер вводит пароль от системы, он тут же начинает шифроваться., а учитывая этот момент, можно предположить, что система не видит разницы между паролем и хешем, и мы можем во время аутентификации воспользоваться хешем, вместо пароля в явном виде.

Напомню, что сейчас мы имеем дело с Windows 7, а достаточно распространенная уязвимость на Windows 7 называется EternalBlue.

EternalBlue - кодовое имя эксплойта, эксплуатирующего компьютерную уязвимость в Windows-реализации протокола SMB.

Для реализации данной атаки можно воспользоваться Metasploit, модулем «eternalblue».

В Meterpreter есть полезная команда hashdump, которая позволяет выгрузить любые LM или NTLM хэши в целевой системе:

meterpreter > hashdump admin4:1000:aad3b435b51904eeaad3b423b51404ee:7179d3046e7ccfac0469f95588b6bdf6:::

и получаем выгрузку:

Administrator:500:aad3b435b53404eeaad3b235b51404ee:21d6cfe0d16ae901b73c59d7e0c089c0::: Guest:501:aad3b135b51404eeaad3b495b51404ee:31d6cfe0d16ae931b93c59d7e0c079c0:::

Видим по результатам выгрузки, что у admin4 скорее всего административные права и его хеш будем использовать для подключения к остальным машинам.

Полученный хеш привилегированного пользователя можно использовать для аутентификации на сервере Windows Server 2016 без пароля в явном виде. Для этого будем использовать модуль psexec в Metasploit.

PsExec представляет собой утилиту, позволяющую работать из командной строки, для запуска программ и команд в удаленных системах.

В Metasploit есть улучшенная версия PsExec, которая позволяет подключаться к удаленным целям.

Вводим все опции, которые требует данный модуль: адрес сервера, к которому подключаемся, затем логин и пароль пользователя. Вот в этом моменте, мы как раз-таки используем полученный ранее хеш администратора.

smbuser => admin4

msf5 exploit(windows/smb/psexec) > set smbpass aad3b435b51904eeaad3b423b51404ee:7179d3046e7ccfac0469f95588b6bdf6

smbpass => aad3b435b51904eeaad3b423b51404ee:7179d3046e7ccfac0469f95588b6bdf6

И по итогам у нас появляется сессия к удаленному серверу без знания пароля.

msf5 exploit(windows/smb/psexec) > run [*] Started reverse TCP handler on 10.10.0.1:1234[*] 10.

А значит мы получили полный доступ к системе. Не это ли прекрасно?) Какие моменты мы должны были для себя выявить:

Pass-the-hash - это вектор атаки. Неважно, каким способом вы получите хеш юзера, главное его вычленить и далее уже по алгоритму pass-the-hash
Система не видит разницы между паролем в открытом доступе и хешем этого пароля.
При удачном раскладе всю работу возможно выполнить, используя один инструмент - MetaSploit.

Active Directory. Начало

2023-08-07T10:20:52.090Z

После изучения Web-а стоит рассмотреть и инфраструктуру. Все узлы сети, все что есть в информационных ресурсах компаний, называется емким словом инфраструктура. И именно инфраструктурный пентест в данной время очень актуален.

Инфраструктурный пентест - это ряд мероприятий по выявлению уязвимостей и возможности на проникновение внутри корпоративной сети.

Чаще всего в компаниях среднего и большого размера используется технология, называемая Active Directory. И именно ее тестируют многие ресерчеры и пентестеры.

Active Directory (AD) - службы каталогов корпорации Microsoft для операционных систем семейства Windows Server. С помощью AD можно объединить различные объекты сети (серверы, принтеры и различные сервисы) в единую систему, наладить удобный поиск и использование необходимых данных.

Какие термины важно знать, работая в AD?

Компьютер, на котором работает Active Directory называется контроллером домена. Он также обслуживает запросы пользователей к каталогу. Контроллер домена является центральным сервером домена, на котором работает доменная служба Active Directory (AD DS). Это означает, что он отвечает за хранение базы данных домена со всей информацией об объектах домена и обслуживает службы Active Directory, такие как аутентификация, авторизация, разрешение имен и т.д. Как правило, это компьютер на Windows Server.
Домен - минимальная структурная единица организации Active Directory (состоит из пользователей, компьютеров, принтеров и тд).
Дерево доменов - иерархическая система доменов под одним корнем - корневой домен.
Лес доменов (или просто лес) - множество деревьев доменов, находящихся в различных формах доверительных отношений.

Очень удобны также группы в AD. Без групп управление пользователями может быть достаточно ресурсозанимательным процессом. Представьте, что у вас есть отдел бухгалтеров, которому нужен доступ к конфиденциальным данным. Следует ли давать разрешение каждому бухгалтеру по отдельности? В целом, хоть работы и много, но это не сложно т.к. каждый год будет, например, добавляться по одному новому бухгалтеру. Но политика меняется и теперь бухгалтера также должны иметь доступ к документам отдела кадров. Стоит ли менять все разрешения бухгалтеров по одному? Нет, это прибавит слишком много работы. Решение состоит как раз-таки в создании групп. Вы создаете группу "Бухгалтера" и разрешаете им доступ к тому или иному ресурсу. Группы хранятся в базе данных домена. Они идентифицируются по атрибуту SamAccountName или SID.

В Active Directory существует множество групп по умолчанию, определенных для разных ролей в домене/лесу. Для злоумышленника одной из самых вкусных групп является группа «Администраторы домена», которая дает права администратора своим членам в домене, поэтому важно знать, кто входит в эту группу, дабы исключить недоразумений.

Кстати к слову о группе "Администраторы домена". База данных, за которой охотятся многие злоумышленники, хранится в файлеC:\Windows\NTDS\ntds.dit на контроллере домена. Поэтому, если кто-то украдет этот файл, он сможет получить доступ ко всей информации об объектах домена, включая учетные данные пользователей. Поэтому, доступ к этому файлу и к контроллерам домена должен быть ограничен администраторами домена. Именно по этой причине группе "Администраторы домена" должны быть допущены лица с высоким уровнем доверия.

Решение состоит в использовании групп. В этом случае у вас может быть группа «Менеджер», в которую добавляются пользователи-менеджеры, и при изменении политики вы должны добавлять или удалять разрешения только для группы. Как и пользователи, группы хранятся в базе данных домена. Точно так же их можно идентифицировать по атрибуту SamAccountName или SID.

Домены и леса представляют с собой основные элементы логической структуры AD.

Active Directory также включает:

Набор правил, который определяет классы объектов и атрибутов, содержащихся в каталоге, ограничения и ограничения экземпляров этих объектов, а также формат их имен. К примеру какому компьютеру в сети разрешены или запрещены те или иные действия.
Глобальный каталог, содержащий сведения о каждом объекте в каталоге. Это позволяет пользователям и администраторам находить сведения о каталоге независимо от того, какой домен в каталоге фактически содержит данные.
Механизм запроса и индекса, позволяющий публиковать и находить объекты и их свойства сетевыми пользователями или приложениями.
Служба репликации, которая распределяет данные каталога по сети. Все контроллеры домена в домене участвуют в репликации и содержат полную копию всех сведений о каталоге для своего домена. Любые изменения данных каталога реплицируются в домене на все контроллеры домена. Проще говоря, репликация - это копирование всего имеющегося в AD.

В AD также вполне себе возможно интегрировать Linux-машины в среду домена. Это достаточно актуальная вещь, ведь многие IT-компании используют Linux для своей работы.

AD при всей своей замечательности, достаточно уязвимая вещь. Каждый месяц (второй вторник месяца) компания Microsoft выпускает обновления безопасности своей системы. В этих апдейтах часто сверкают различные уязвимости высокого уровня критичности (по CVSSv3), к примеру удаленное выполнение кода (RCE).

В ноябре 2021 года Microsoft выпустила обновление безопасности, исправляющие уязвимости, позволяющие захватить домен. Они известны под идентификаторами CVE-2021-42278 и CVE-2021-42287.

В следующей статье мы поговорим более подробно про взлом AD, а именно разберем атаку Pass-The-Hash. А пока вы можете потренироваться в развертывании AD на своих виртуальных машинах.