Архив рубрики: Security

Поиск контролеров домена Active Directory

При проведении внутреннего тестирования на проникновение требуется определить цели атаки.
Одними из главных целей являются контроллеры домена Active Directory. Найти контроллеры домена можно множеством способов.

Получение имени домена

Для начала нам нужно узнать имя домена. Как правило оно передается в параметрах DHCP сервера domain-name (5) и или domain-search (119). Посмотреть значения этих параметров можно в файле /etc/resolv.conf.

Пример файла resolv.conf:

соответствено, скорее всего, имя домена — pentestlab.lan.

После получения имени домена, мы можем запросить у DNS сервера список всех контроллеров домена.

Первый способ

Запрос ldap SRV записей.

Пример:

Второй способ

Запрос kerberos записей.
Читать далее Поиск контролеров домена Active Directory

Phishery. Получаем учетные данные пользователя

В рамках тестирования на проникновение часто приходится прибегать к социальной инженерии. И один из самых ценных видов информации, который можно получить у пользователя — это его аутентификационные данные доменной учетной записи. Способов получения очень много, один из них — использовать инструмент Phishery. Phishery встраивает в существующий документ Microsoft Word появляющееся окно с требованием ввести имя пользователя и пароль.

Установка

Установка в Kali Linux
В Kali Linux установка производится через пакетный менеджер:

Установка в Debian
Если требуется установить на чистый сервер, то под требуемую архитектуру скачиваем последнюю версию с исполняемыми файлами по адресу: https://github.com/ryhanson/phishery/releases (ссылка может меняться с выходом новых версий):
Читать далее Phishery. Получаем учетные данные пользователя

Рассылка электронных писем от чужого имени

При социотехническом тестировании на проникновение (социальная инженерия) желательно максимально повысить уровень доверия к письмам. Поэтому используются разные методы «подделки писем». Получение письма от знакомого адресата сильно повышает уровень «пробоя» при рассылках. Один из способов — это подделать e-mail адрес отправителя. И как не странно, это сделать очень легко, зная особенности протокола SMTP. Несколько способов, с помощью которых это можно сделать мы опишем в этой статье.

Анатомия атаки

При отправке писем по протоколу SMTP передается множество служебных заголовков и не на всех серверах корректно работают проверки (даже крупные почтовые службы часто игнорируют такие проверки, что открывает широкие возможности по использованию данной уязвимости).

Для продолжения чтения этой статьи требуется подписка. Войти или Оформить подписку.

MassScreenshoter — массовое создание скриншотов сайтов

Тестирование на проникновение в больших инфраструктурах и проектах имеет свою специфику и поэтому требует особого подхода. Например, в одной из тестируемых компаний, мы нашли с помощью Masscan почти 600 работающих веб-серверов. Для разведки нужно было зайти на каждый из серверов, посмотреть какие Web-приложения на каких серверах работают и выбрать подходящие цели для дальнейшего тестирования, но на этот просмотр ушло бы несколько дней, которые можно потратить с большей пользой. Мы решили, что просмотреть 600 скриншотов гораздо проще, чем 600 сайтов. Поэтому была написана утилита MassScreenshoter, которая позволяет сделать снимки страниц для большого количества сайтов.

Для работы утилиты требуется наличие PhantomJS, который в свою очередь требует запуска из графической оболочки (GNOME,KDE,Xfce,Mate и т.д.) или любой оконной системы.

Установим PhantomJS и Git:

Читать далее MassScreenshoter — массовое создание скриншотов сайтов

Masscan — быстрый сканер портов

Часто бывает, что нужно быстро провести сканирвоание большого количества хостов на определенный открытый порт или порты. Nmap конечно хороший инструмент и выдает множество информации, но на больших диапазонах адресов и портов он работает довольно медленно. Поэтому приходится искать более быструю альтернативу для сканирования портов.
Одна из таких альтернатив — Masscan. он позволяет произвести очень быстрое сканирование портов.

Установим Masscan:

Синтаксис:

Примеры использования Masscan

Провести сканирование диапазонов 10.0.0.0/8 и 192.168.0.0/16 на открытые порты 80 и 443:
Читать далее Masscan — быстрый сканер портов

Поиск людей по геотегам фотографий в VK (ВКонтакте)

Иногда при проведении тестирования на проникновение, а особенно при социальной инженерии, требуется найти пользователей по местоположению. Так же это может быть полезно не только для Pentest‘а, но для составления целевой аудитории при проведении рекламных акций. И в этим нам могут помочь социальные сети. Рассмотрим пример поиска пользователей в социальной сети ВКонтакте. В рамках статьи сначала рассмотрим ручной поиск, а потом автоматизацию поиска.

Задача

Предположим, что мы знаем что человек работает в бизнес центре по некоему адресу и имеет аккаунт в VK. И, скорее всего, он размещал фотографии с работы. Нам нужно этого человека.

Поиск вручную

С помощью сервисов Google Maps или Яндекс.Карты мы можем узнать координаты этого офисного комплекса.

Координаты

vkphotosearch_1

Будем считать, что найденные координаты это:

  • Latitude: 55.7538528
  • Longitude: 37.6196378

Читать далее Поиск людей по геотегам фотографий в VK (ВКонтакте)

Infoga — поиск почтовых адресов компании в публичных источниках

Сегодня мы опишем еще один инструмент для проведения разведки в рамках тестирования на проникновение, а точнее для поиска почтовых ящиков в открытых источниках и некоторой другой информации. Таких инструментов существует довольно много, например theHarvester, о котором мы писали в статье: theHarvester. Инструмент для сбора данных для теста на проникновение.
Infoga позволяет по всем доступным источникам (google, bing, yahoo, pgp) собрать список доступных почтовых ящиков.

Установка Infoga

Установку будем производить в Linux Debian.

Установим все требуемые пакеты:

После установки всех требуемых пакетов, скачаем Infoga:

Читать далее Infoga — поиск почтовых адресов компании в публичных источниках

Стресс тестирование с использованием DNS Amplification DDoS

DNS Amplification это один из видов DDoS атак, который основан на усилении атаки с помощью сторонних, легитимных, DNS серверов. Принцип атаки построен на том, что злоумышленник создаёт короткий запрос к стороннему DNS серверу, но этот запрос отправляется от имени жертвы (IP spoofing, протокол UDP не проверяет отправителя), а DNS сервер отправляет ответ в сторону жертвы, который в несколько раз больше запроса. Это и позволяет провести атаку DNS Amplification, увеличив объём трафика в разы с помощью чужих DNS серверов.

В рамках нагрузочного тестирования можно извлечь из данной атаки пользу. Например для проверки оборудования, которое должно защищать от DoS атак. Естественно для этого в качестве усиливающих DNS серверов нужно использовать только те сервера, владельцы которых дали согласие на подобное «использование» их серверов.

Для проведения тестирования нам потребуется:

  • Рабочая станция с установленной ОС Linux (в примерах используется Linux Debian);
  • Python 2.x;
  • Scapy;
  • Внешний IP адрес(проведение тестирования не возможно через NAT, т.к. UDP пакеты с подменённым адресом будут отфильтрованы при передаче их через NAT).

Поставим все требуемые пакеты:
Читать далее Стресс тестирование с использованием DNS Amplification DDoS

Эксплуатация уязвимости CVE-2017-0199 в Microsoft Word

Уязвимость CVE-2017-0199 позволяет незаметно выполнить произвольный код в любой версии Microsoft Windows и Microsoft Office, при этом не требует включения макросов. Эксплоит распространяется через документ формата RTF.
Принцип работы уязвимости состоит в том, что открываемый RTF файл имеет объект OLE2link, который подгружает HTA приложение со стороннего сервиса и запускает его.

Для создания эксплоита и эксплуатации потребуется:

  • Сервер с установленным Apache, который будет доступен из атакуемой сети;
  • Microsoft Word 2010-2016;
  • Metasploit Framework;

Для начала установим на сервер Apache.

Теперь создадим RTF файл в Microsoft Word (в примере: doc.rtf) с произвольным текстом (этот текст в дальнейшем будет отображаться пользователю при открытии файла, поэтому мы использовали текст из одной точки, чтобы он был слабо заметен) и загрузим его на сервер, чтобы он был доступен по протоколу HTTP.

Следующим шагом создадим еще один файл RTF, в который вставим загруженный файл, как объект.

Вставка

cve-2017-0199_1

Для вставки объекта переходим во вкладку Вставка и выбираем Объект.
Читать далее Эксплуатация уязвимости CVE-2017-0199 в Microsoft Word

Перебор и брутфорс учетных записей Microsoft Exchange через Outlook Web Access

В тестировании на проникновение, особенно при проверке криптостойкости паролей и социальной инженерии, часто требуется произвести перебор электронных почтовых ящиков пользователей и попытаться подобрать к ним пароли (или в дальнейшем использовать полученные ящики для социальной инженерии). Иногда удаётся успешно произвести перебор и брутфорс по протоколу SMTP, но как правило, SMTP сервер блокирует подобные действия (Как произвести перебор учетных записей через SMTP — описывается в статье Перебор почтовых адресов). Если в качестве почтового сервера используется Microsoft Exchange, то можно попробовать перебор и брутфорс через Web интерфейс почты. Если имя учетной записи такое же, как и имя почты, а как правило так и есть, то мы сможем провести перебор, если они различаются (что бывает крайне редко) то можно будет либо перечислить только имена пользователей, либо провести перебор паролей для известных имен пользователей.
Для перебора и брутфорса нам потребуется Metasploit Framework и 2 словаря.

Словарь с паролями (pass.txt):

Парольный словарь можно взять готовый или составить самостоятельно. Вообще составление словаря это довольно творческое дело.
Читать далее Перебор и брутфорс учетных записей Microsoft Exchange через Outlook Web Access