API tools faq
paste
Advertisement
Guest User

PHDays Standoff Big Bro walk-through

a guest
Jun 4th, 2019
678
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 18.06 KB | None | 0 0
raw download clone embed print report
  1. Промышленная компания Big Bro Group.
  2. Отрасль: электроэнергетика, нефтегазодобыча, нефтеперерабатывающая промышленность, химическая промышленность, железнодорожный транспорт.
  3. Деятельность: переработка и транспортировка топливно-энергетических ресурсов, производство, транспортировка и распределение электроэнергии; производство химических веществ; перевозка грузов и пассажиров.
  4. В состав входят сегменты: энергетика (генерация), химический завод, нефтеналивное хранилище, вокзал и железнодорожные составы.
  5.  
  6. DMZ:
  7. bigbrogroup.dns (Ubuntu Linux (64-bit) )
  8. 10.126.140.131
  9.  
  10. bigbrogroup.host-1 (Ubuntu Linux (64-bit) )
  11. 10.126.140.132
  12.  
  13. bigbrogroup.host-4 (Ubuntu Linux (64-bit) )
  14. 10.126.140.134
  15.  
  16. bigbrogroup.vpn (Ubuntu Linux (64-bit) )
  17. 10.126.140.189
  18.  
  19. phd-bboard (Ubuntu Linux (64-bit) )
  20. 10.126.140.172
  21.  
  22. phpmyadmin (Ubuntu Linux (64-bit) )
  23. 10.126.140.199
  24.  
  25. rdg.bigbrogroup.phd
  26. 10.126.140.21 Microsoft Windows Server 2012 (64-bit)
  27.  
  28. zabbix.bigbrogroup.phd
  29. 10.126.140.193 Ubuntu Linux (64-bit)
  30.  
  31. exch.bigbrogroup.phd
  32.  
  33. 10.126.140.20 Microsoft Windows Server 2012 (64-bit)
  34.  
  35.  
  36. Servers:
  37. application.bigbrogroup.phd
  38. 172.22.61.14 Microsoft Windows Server 2012 (64-bit)
  39.  
  40. backup.bigbrogroup.phd
  41. 172.22.61.12 Microsoft Windows Server 2012 (64-bit)
  42.  
  43. bigbrogroup.pers
  44. 172.22.61.221 Ubuntu Linux (64-bit)
  45.  
  46. DC.bigbrogroup
  47. 172.22.61.10 Microsoft Windows Server 2008 R2 (64-bit)
  48.  
  49. exch.bigbrogroup.phd
  50. 172.22.61.15 Microsoft Windows Server 2012 (64-bit)
  51.  
  52.  
  53. fs.bigbrogroup.phd
  54. 172.22.61.11 Microsoft Windows Server 2008 R2 (64-bit)
  55.  
  56. rdg.bigbrogroup.phd
  57. 172.22.61.13 Microsoft Windows Server 2012 (64-bit)
  58.  
  59.  
  60. zabbix.bigbrogroup.phd
  61. 172.22.61.25 Ubuntu Linux (64-bit)
  62.  
  63. LogCollector.bigbrogroup.phd
  64. 172.22.61.210 Microsoft Windows Server 2012 (64-bit)
  65.  
  66. reserv-dc-01
  67. 172.22.61.9 Microsoft Windows Server 2016 (64-bit)
  68.  
  69. srv-dc-01.bigbrogroup.phd
  70. 172.22.61.10 Microsoft Windows Server 2016 (64-bit)
  71.  
  72. ТОЧКИ ВХОДА:
  73. 1. Exchange PrivExchange
  74.  
  75. По умолчанию у Exchange высокие привилегии в домене Active Directory: «группа The Exchange Windows Permissions имеет доступ WriteDacl,
  76. что позволяет любому ее участнику изменить привилегии домена, среди которых привилегии для операций DCSync».
  77. В итоге злоумышленник может синхронизировать хешированные пароли пользователей Active Directory,
  78. что позволит ему выдать себя за этих пользователей и авторизоваться в любом сервисе, использующем NTLM или Kerberos.
  79.  
  80. Для Exchange было:
  81. - 4 брутабельных учетных записи;
  82. - 3 учетных записи подходили из телеком оператора Future Telecom;
  83. - 2 учетных записи подходили из банка E-coin Bank;
  84. На привилегированные учетные записи по умолчанию установлен широко известный пароль, на некоторое количество учетных записей офисных сотрудников установлены пароли из словаря rockyou.
  85.  
  86. 2. Домен Big Bro Group имел несколько удаленных администраторов, которые находились в сети телеком оператора Future Telecom;
  87.  
  88. Удаленные сотрудники работают за уязвимыми роутерами RouterOS 6.38.1 (CVE-2018-14847, CVE-2019-3924, https://www.exploit-db.com/exploits/44290, https://www.exploit-db.com/exploits/44284),
  89. в "интернет" проброшен RDP на нестандартном порту 13389. На локальную учетную запись установлен словарный пароль. На хосте:
  90. 1) запущен уязвимый keepass
  91. 2) есть небольшой дамп хэшей из офиса для пользователей со словарными паролями
  92.  
  93. (У удаленного администратора Big Bro Group, был установлен уязвимый mikrotik ( 10.126.161.70, 192.168.1.1) router os 6.38.1 в сети F-Telecom,
  94. с проброшенным наружу RDP на нестандартным портом 13389.
  95. Данный пользователь имел брутабельный пароль.)
  96.  
  97. На хосте администратора был keepass, пароль на базу keepass был брутабельный.
  98.  
  99. Внутри keepass:
  100. - несколько учетных записей внутри сегмента Big Bro Group;
  101. - учетная запись ssh Zabbix;
  102. - учетная запись от веб интрефейса Zabbix;
  103.  
  104. На привилегированные учетные записи по умолчанию установлен широко известный пароль, на некоторое количество учетных записей офисных сотрудников установлены пароли из словаря rockyou.
  105.  
  106. 3. На хостах Big Bro был установлен бот, который читал почту и открывал вложения.
  107.  
  108. На хостах hr установлен бот, открывающий вложения входящих писем. Возможный вариант использования данной уязвимости CVE-2017-11882.
  109. Позволяет получить удаленный доступ до машины. Валидны doc и rtf файлы. Возможный вариант использовать WordSteal для похищения паролей Windows.
  110. На сайте визитке компании были: почта hr и имена и фамилии начальников отделов компании.
  111.  
  112. Описание работы:
  113. Скрипт получает список непрочитанных писем из папки inbox.
  114. Если в письме есть вложение, идем по белым спискам, описанным в требованиях к скрипту, если письмо соответствует определенным нами критериям, открываем вложение.
  115.  
  116. Варианты ответа:
  117. Домен не из БС (белого списка)
  118. - Пожалуйста, отправляйте письма с корпоративной почты!
  119. - Странный домен, отправьте с корпоративной почты!
  120. - Хмм, что это за домен?
  121. В письме есть неразрешенные расширения файлов
  122. - Странные файлы вы мне отправляете.
  123. - Кажется, вы мне не те файлы отправили
  124. - А что это за формат файла? Чем открывать?
  125. Не нашел ключевые слова из БС
  126. - Письмо получил, отвечу позже
  127. - Немного занят, прочитаю вечером
  128. - Это точно мне адресовано?
  129. Проблема с архивом (неверный пароль, не нашел пароль и т.п.)
  130. - Возникли какие то проблемы с архивом
  131. - Что-то не так. Не могу распаковать архив
  132. - Проблемы с распаковкой архивов
  133. Доверяем письму и не возникли проблемы с архивами
  134. - Долго ждал вашего письма!
  135. - То что надо!
  136. - Запустил! Работает!
  137.  
  138. 4. VPN:
  139.  
  140. - учетные записи(2) подходили от абонентов F-Telecom
  141.  
  142. 5. Zabbix - система мониторинга.
  143.  
  144. Сервер zabbix.bigbrogroup.phd - имел доступ в DMZ и серверную подсеть.
  145.  
  146. В пользовательском интерфейсе Zabbix есть вкладка «Scripts » в разделе «Administration ».
  147. Здесь вы можете создавать собственные скрипты для выполнения различных задач на ваших серверах.
  148. Эти скрипты выполняются как системные команды на удаленном хосте. Это само по себе не даст вам удаленного выполнения команд.
  149. Конфигурация агента Zabbix по умолчанию отключает эту функцию. Уязвимость возникает, когда системный администратор обнаруживает эту функцию и решает использовать ее,
  150. разрешив удаленное выполнение команд на агенте, установив следующий параметр конфигурации EnableRemoteCommands = 1
  151. poc - https://medium.com/@0x616163/pivoting-with-devops-tools-abusing-zabbix-877e92bf49c2
  152.  
  153. Учетные записи от zabbix (ssh и веб интерфейса) были на компьютерах администраторов в keepass.
  154.  
  155. 6. Обновления:
  156.  
  157. Офис Big Bro Group - так как в нем не было защитников и через него можно было попасть к АСУ ТП, был не пропатчен,
  158. Командами были использованный несколько уязвимостей (ms17-010, ms12-020)
  159.  
  160. 7. Удаленные инженеры АСУ ТП:
  161.  
  162. В сети F-Telecom было два удаленных инженера, которые имели доступ в Big Bro, к АСУ ТП
  163. Инженерные АРМы, с установленным софтом для плк:
  164. - Engineer_STATION_2(Siemens_STEP7) - 10.126.161.80, 172.22.62.103
  165. - ENGINEER_STATION_ASU_NO - 10.126.161.90, 172.22.62.113
  166.  
  167. Доступ к АСУ из телекома:
  168. 1) Игрок находит radmin(на 0.0.0.0, порт был наружу) с подбираемой учеткой admin:shadow16
  169. Игрок должен подключиться по РДП и может взаимодействовать с ПЛК через инженерный софт;
  170. 2) На устройстве доступен rpcapd на порту TCP 2002;
  171. Игрок должен послушать трафик и увидеть, что раз в какое-то время на сервер подключается какой-то софт на порт 13338 TCP
  172. Игрок должен разреверсить протокол и получить RCE
  173. Игрок должен подключиться по RDP и может взаимодействовать с ПЛК через инженерный софт
  174.  
  175. 13338 сыпался очень простые два пакета:
  176. 1ый с временной меткой и hashlib.sha1(time_p + 'admin').digest()
  177. 2ой cmd = "whoami"
  178. cmd_len = len(cmd)
  179. buf = struct.pack("<H", cmd_len) + cmd
  180.  
  181. Так атакующие могли заслать команду в систему под админом и получить доступ к системе.
  182.  
  183. 8. DMZ виртуальные машины с rce.
  184.  
  185. 10.126.140.172 (Big Bro group)
  186. Сервис: http://10.126.140.172/
  187. Redis: 10.126.140.172:6379
  188. Уязвимость: RCE через веб-приложение с использованием redis и pickle
  189. Описание:
  190. Во внешний мир открыт порт redis. База используется приложением для хранения заметок.
  191. В ней хранятся сессии пользователей, где session:cookie - ключ, а значение - десериализуется модулем pickle.
  192. Путем подмены значения для действительной сессии в pickle на следующий код возможно получить reverse-shell на внешний IP-адрес
  193.  
  194. 10.126.140.199 ( Big Bro group)
  195. 1. Execution (SQLi+PHP include = RCE)
  196. 2. 10.126.140.199
  197. 3. https://www.exploit-db.com/exploits/45020
  198. 4. Последовательное пошаговое описание действий, которые были выполнены для решения задачи:
  199. 1. С помощью nmap просканировали сеть 10.126.140.0/24
  200. 2. Определили, что на узле 10.126.140.199 доступен веб порт 80, внутри была дира /phpmyadmin/
  201. 3. В процессе энумерейта сервиса подобрали дефолтные креды phpmyadmin:phpmyadmin
  202. 4. Выяснили, что данная версия содержит уязвимости CVE-2018-12613
  203. 5. Для уязвимости CVE-2018-12613 обнаружен публичный эксплойт: https://www.exploit-db.com/exploits/45020
  204. 5.1 Для того чтобы удостовериться в наличии RCE использовали burp
  205.  
  206. После получения rce на данных хостах, становится доступен zabbix в сети DMZ
  207.  
  208. ПОВЫШЕНИЕ ПРИВИЛЕГИЙ ВНУТРИ ОФИСА:
  209.  
  210. На рабочих станциях:
  211. Unquoted Service Path
  212. Для данной атаки выбрана служба Adobe Acrobat Update Service, запускающаяся от системы. В реестре отсутствуют кавычки: HKLM\System\currentcontrolset\services\adobearmservice.
  213. Группе users выданы полномочия на запись файлов в папке: c:\Program Files (x86)\Adobe\Acrobat Reader 2015. Выданы права на запуск и остановку сервиса Adobe Acrobat Update Service.
  214.  
  215. Insecure Registry Permissions
  216. Встроенные службы windows запускаются из под пользователя SYSTEM, поэтому папки, файлы и ключи реестра должны быть защищены с помощью ACL.
  217. Отключено наследование и выдано право Full Access для группы Users на раздел реестра HKLM\System\currentcontrolset\services\spooler. Также выданы права группе Users на запуск\остановку службы spooler.
  218.  
  219. Insecure File/Folder Permissions + Insecure Service Permissions
  220.  
  221. AlwaysInstallElevated
  222. На рабочих станциях возможна установка MSI-файла с повышенными привилегиями (NT AUTHORITY\SYSTEM). [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Installer] “AlwaysInstallElevated”=dword:00000001
  223.  
  224. В домене:
  225. В сервисных учетных записях прописан SPN и по умолчанию включено слабое шифрование Kerberos, также для сервисных учетных записей установлен словарный пароль rockyou. В совокупности эти факторы позволяют провести атаку Kerberoasting,
  226. провести offline подбор пароля и получить доступ локального администратора на котором запущена соответствующая служба.
  227.  
  228. Учетной записи sharepoint делегированы права, достаточные для техники DCSync. Учетной записи sharepoint установлен пароль из словаря rockyou. Учетная запись подвержена Kerberoasting.
  229.  
  230. IT департаменту делегированы права, достаточные для проведения атаки DCShadow.
  231.  
  232. Злоумышленники, владеющие учетными записями администраторов рабочих станций могут внести изменения в групповую политику и выполнить произвольный скрипт на рабочих станциях администраторов серверов.
  233. Logon Scripts: https://attack.mitre.org/techniques/T1037/
  234.  
  235. Неограниченное делегирование Kerberos
  236. Служебной учетной записи включена возможность неограниченного делегирования Kerberos. От имени этой учетной записи запущен Sharepoint портал, сама учетная запись подвержена Kerberoasting.
  237. Проникновение на сервер sharepoint обеспечивает получение хэшей пользователей ходивших на портал.
  238.  
  239. Резервная копия active directory хранится на backup сервере в расшаренной папке, доступной всем сотрудникам IT департамента.
  240.  
  241. Сотрудники IT департамента группы технической поддержки осуществляют ее через rdp, оставляя хэши паролей в памяти рабочих станций
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!