kliMaster

kliMaster

Пикабушник
поставил 805 плюсов и 163 минуса
отредактировал 1 пост
проголосовал за 1 редактирование
Награды:
5 лет на Пикабу
64К рейтинг 769 подписчиков 73 подписки 296 постов 107 в горячем

Intel собирается бороться с эксплойтами на уровне микропроцессора.

Intel собирается бороться с эксплойтами на уровне микропроцессора. Intel, Новая концепция, Информационная безопасность, Эксплойт, Микропроцессор, Длиннопост
Компания Intel опубликовала предварительную спецификацию новой концепции защиты от эксплойтов с привлечением микропроцессора. В своем посте, который посвящен новой технологии под названием Control-flow Enforcement Technology (CET), объясняется модель защиты от эксплойтов, которые так или иначе используют для своих целей методы ROP. Как правило, ROP используется для обхода DEP в системе. Эта защитная мера (DEP) также реализуется с привлечением микропроцессора и помечает RW-страницы данных виртуальной памяти как не подлежащие исполнению (NX).
CET вводит понятие теневого стека вызовов (shadow stack), который ведется самим микропроцессором и в котором сохраняется информация об адресах возврата для дальнейшего использования инструкцией ret. При возврате потока из той или иной функции, микропроцессор будет проверять адрес возврата, который сохранен на стеке потока с тем, который сохранен на теневом стеке и в случае их несоответствия будет генерировать исключение, обрабатываемое ОС. CET определяет интерфейсы для ОС, которые позволят автоматизировать этот процесс и эффективно бороться с эксплойтами, использующими ROP.
Под теневой стек будет выделен отдельный регион виртуальной памяти, который будет помечен таковым на уровне элементов PTE таблиц страниц. Таким образом, микропроцессор будет блокировать любые попытки того или иного кода получить доступ к этому стеку (например, через инструкцию mov). Указатель на теневой стек микропроцессор будет хранить в известной структуре сегмента состояния задачи (Task state segment) для отслеживания этого поля при переключении контекста потока и его процесса. Поля этой структуры также частично используются Windows для механизма обслуживания процессов и переключения контекста.

За активацию CET на уровне микропроцессора будет отвечать специальный флаг регистра cr4 под названием CR4.CET. Для него же будет выделен целый набор специальных MSR регистров, которые будут контролировать поведение CET: IA32_U_CET, IA32_S_CET, IA32_PL3_SSP, IA32_PL2_SSP, IA32_PL1_SSP, IA32_PL0_SSP, IA32_INTERRUPT_SSP_TABLE_ADDR. Текущий адрес теневого стека потока будет фиксироваться новым регистром микропроцессора под названием SSP (Shadow Stack Pointer).

Intel собирается бороться с эксплойтами на уровне микропроцессора. Intel, Новая концепция, Информационная безопасность, Эксплойт, Микропроцессор, Длиннопост

Выше Формат кода ошибки известного исключения page fault, которое генерируется микропроцессором при попытке доступа потока к не предназначенной для него странице. Установленный в результате исключения шестой бит говорит о попытке доступа потока к странице виртуальной памяти с теневым стеком.

Теневым стеком можно будет управлять с использованием инструкций микропроцессора, правила использования которыми регламентируется ОС. Некоторые из них указаны ниже.



INCSSP — увеличить указатель теневого стека SSP на один шаг, т. е. на 4 байта в 32-битной системе и на 8 байт в 64-битной.


RDSSP — прочитать значение указателя SSP в указанный регистр.


SAVESSP — сохранить текущий «контекст маркера теневого стека» на теневом стеке и выровнять указатель SSP на 8 байт.


RSTORSSP — команда аналогична предыдущий, т. е. записывает в SSP значение сохраненного маркера стека.


WRSS — записать по указателю SSP в виртуальной памяти значение переданного аргумента.



В случае своей активности, CET будет реагировать на следующие инструкции микропроцессора, которые изменяют поток выполнения кода: CALL, INT n/INTO/INT3, JMP, RET, SYSCALL, SYSENTER, SYSEXIT, SYSRET, IRET/IRETD. Как видно, эти инструкции относятся к механизмам вызова функций и выхода из них, а также к вызовам системных сервисов и выходу из них, вызову прерываний и выходу из них.

Intel собирается бороться с эксплойтами на уровне микропроцессора. Intel, Новая концепция, Информационная безопасность, Эксплойт, Микропроцессор, Длиннопост
Выше Часть псевдокода инструкции вызова функции call. Видно, что в случае активности CET, адрес возврата сохраняется на теневом стеке.
Intel собирается бороться с эксплойтами на уровне микропроцессора. Intel, Новая концепция, Информационная безопасность, Эксплойт, Микропроцессор, Длиннопост

Выше Часть псевдокода инструкции выхода из функции ret. Видно, что в случае несовпадения адресов на стеке потока и теневом стеке, генерируется исключение.

Intel собирается бороться с эксплойтами на уровне микропроцессора. Intel, Новая концепция, Информационная безопасность, Эксплойт, Микропроцессор, Длиннопост

Выше Элементы таблиц страниц Extended Page Table (EPT), в которых страница теневого стека помечена 59-м битом SSS. Используется для идентификации страниц теневого стека на уровне таблиц страниц.

Напомним, что специфические функции борьбы с ROP-эксплойтами содержаться в бесплатном инструменте EMET. Для этого используются такие настройки как Caller Check, SimExecFlow, MemProt, и StackPivot. Первые две позволяют EMET контролировать поток выполнения и вызова функций API Windows, а также проверить легитимность кода вызывающей стороны. Функция MemProt запрещает потоку модифицировать атрибуты защиты страницы стека, а StackPivot распознает ситуации модификации регистра esp методом stack pivoting.

Источник: https://habrahabr.ru/company/eset/blog/303086/

Показать полностью 4

Spirit raven.

Spirit raven.

Грубая сила против паролей.

Грубая сила против паролей. Видеокарта, AMD, Gpgpu, Пароль, Безопасность, Opencl, Длиннопост, Geektimes
Видеоадаптеры AMD можно применять не только по прямому назначению (игры и работа с графикой). Всем известно про возможности OpenCL по ускорению общих вычислений с применением GPU, а сегодня поговорим о вопросах безопасности, связанных с впечатляющей вычислительной мощностью.

Одной из самых популярных видеокарт для GPGPU является AMD R9 280X. При скромной цене в ~220-230 долларов она готова поделиться тремя гигабайтами памяти и 2048 потоковыми процессорами на базе архитектуры GCN v1.0, суммарно выдающих около 3.4 TFlops для вычислений одинарной точности и порядка 870 GFlops для вычислений двойной точности. Показатели производительности могут незначительно отличаться в зависимости от вендорской версии и «зашитых» в BIOS тактовых частот.


Для сравнения, у одной скандально известной видеокарты (той, что с «3.5 ГБ памяти из 4 заявленных») цена на сто долларов больше, при этом она показывает внушительные 3.8-4 TFlops для 32-битных чисел с плавающей точкой, но для FP64 – смешные ~120-130 GFlops.


Вернёмся к GPGPU. Возможно, для вашей задачи вам будет мало возможностей одной видеокарты, и вы поставите две, три, или даже четыре, благо материнские платы и блоки питания нынче могут такое позволить. Что, если и этого будет мало? На сцену выходит киллер-фича технологии OpenCL — Virtual OpenCL, позволяющая объединить множество ускорителей, установленных в нескольких компьютеров, в один высокопроизводительный кластер.

Virtual OpenCL


VCL доступен бесплатно и работает с любым железом, поддерживающим стандарт OpenCL 1.0 или 1.1, позволяет объединять различные устройства в одну вычислительную сеть и предоставлять её мощности для любых приложений, умеющих работать с OpenCL.


В качестве примера применения такой технологии хочется рассказать о монструозной ферме по перебору паролей, состоящей из 25 GPU AMD.


Взлом пароля грубой силой часто упирается в вычислительную мощность компьютера, который будет осуществлять перебор. Даже если абстрагироваться от всевозможных уровней защиты от атаки bruteforce’ом (вроде каптчи или удаления/шифрования информации после n-ной попытки войти с неправильным паролем), стандартный пароль из 8 символов перебирать достаточно долго. При использовании только букв нижнего регистра латинского алфавита вам придётся перебрать 268 (208 827 064 576) вариантов, а если использовать цифры, спецсимволы и различный регистр, то число возможных сочетаний перевалит за 728 (722 204 136 308 736). Быть может, сгенерировать 720 триллионов паролей не так уж и сложно, но сами пароли в открытом виде, само собой, никто не хранит, вместо этого используют их хэши.


Современные пароли хранятся в таком виде, который нельзя легко «решить», собрав специальную микросхему, так что на сцену выходят железки, способные играть грубо и эффективно: предоставляя огромное количество FP32 / FP64 операций в секунду, и здесь-то технологии AMD, возможности OpenCL и VCL-фермы придутся как нельзя кстати.



Когда BitCoin «добывали» с помощью видеокарт, любители собирали специальные фермы из большого числа ускорителей:

Грубая сила против паролей. Видеокарта, AMD, Gpgpu, Пароль, Безопасность, Opencl, Длиннопост, Geektimes

Пару лет назад примерно такую же железку, разнесённую на несколько серверных корпусов, показывали на конференции компьютерной безопасности в Осло. Вариантов применения этому сундуку в опытных руках можно найти довольно много:

Грубая сила против паролей. Видеокарта, AMD, Gpgpu, Пароль, Безопасность, Opencl, Длиннопост, Geektimes

Кластер из GPU работает под управлением Linux, видеокарты объединены системой VCL, которая предоставляет хост-системе все видеокарты как одну большую систему исполнения OpenCL-заказов.



Ферма может делать до 350 миллиардов предполагаемых хэшей паролей в секунду, используя алгоритм NTLM. Он используется в Microsoft Windows со времён Windows Server 2003. Для перебора восьмисимвольного пароля (самого популярного по длине как среди обычных пользователей, так и в корпоративном сегменте), содержащего все символы латинского алфавита в различных регистрах, цифры и спецсимволы, данному монстру достаточно пяти с половиной часов.

Производительность



Возможности подобной фермы из GPU действительно впечатляющи, и они показывают неплохие результаты даже на «тяжёлых» алгоритмах хэширования: MD5 (180 млрд. предположений в секунду), SHA1 (63 млрд. предположений в секунду) и LM (20 млрд. предположений в секунду). Для т.н. «медленных» хэш-алгоритмов результаты тоже неплохие: bcrypt (05) и sha512crypt получили 71 000 и 364 000 предположений в секунду соответственно.

Грубая сила против паролей. Видеокарта, AMD, Gpgpu, Пароль, Безопасность, Opencl, Длиннопост, Geektimes

Оптимизация и масштабируемость



Эксперименты с Password Cracker’ом проводились достаточно давно, когда VCL был достаточно «сырым» продуктом. Совместная работа автора этой мега-фермы с создателями VCL привела к улучшению балансировщика нагрузки. Специальный скрипт позволил улучшить работу Hashcat на VCL, благодаря чему сегодня можно запустить код не на 25, а как минимум на 128 GPU с сохранением линейного роста производительности.

В июне 2012 года Поул-Хеннинг Камп, автор функции md5crypt(), которая широко используется в FreeBSD и Linux, попросил сообщество перестать пользоваться его функцией.

Автор опасался ситуации, когда атакующий сможет получить больше 1 миллиона проверок в секунду на доступном в обычных магазинах компьютерном железе. Password Cracker на 25 GPU превзошёл опасения Поула-Хеннигна Кампа в 77 раз, а возможность смасштабировать его в 5 и более раз делает перебор хэшей ещё более уязвимым к коллизиям: если сейчас «стандартный» восьмисимвольный пароль перебирается за 6-8 часов, то на 128 GPU такой перебор может сократиться до часа.


Как быть?

Быть может, вашу фирму никто никогда не будет взламывать, а дома вы не храните ничего ценного / компрометирующего / важного. Никто не застрахован от утечек в крупнейших фирмах: сравнительно недавно соцсеть LinkedIn «потеряла» шесть с половиной миллионов хэшей паролей. Если «разгадывать» пароли фермой на видеоускорителях AMD (а не на профессиональном железе), то около 90% паролей можно было бы обработать за разумное время.



Длинный и сложный пароль (при условии того, что его применяют надлежащим образом, не хранят в открытой форме и всё такое) — половина защиты от таких мощных вычислительных систем. Разумеется, есть и другие подходы (вроде «солёных» хэшей), но не всегда есть возможность внести изменения в действующий алгоритм или рабочий продукт, а удлинить минимальный пароль до 13 или 20 символов — проще простого.

Источник: https://geektimes.ru/company/amd/blog/277068/

Показать полностью 3

Тестирования на проникновение часть 2.

Часть 1 http://pikabu.ru/story/testirovaniya_na_proniknovenie_chast_...


ЭКСПЛУАТАЦИЯ УЯЗВИМОСТЕЙ В WORDPRESS ПЛАГИНЕ

Теперь можно изучить сайт и потенциальные уязвимости внимательнее. Можно это делать и напрямую, но мне удобнее для этого использовать Burp Repeater. Для начала нужно настроить подключение через upstream proxy:

На вкладке User options добавляем Upstream Proxy Server, вводим полученные данные для нашего хоста, настраиваем браузер на Burp proxy, и пробуем различные эксплоиты найденные wpscan-ом.

Эта же возможность позволит использовать утилиты, которые не поддерживают авторизацию в прокси напрямую, если такие понадобятся — достаточно будет указать в виде proxy 127.0.0.1:8080.

Тестирования на проникновение часть 2. Взлом, Уязвимость, Kali linux, Сети, Лаборатория, Информационная безопасность, Длиннопост

Попробовав несколько вариантов, видим что срабатывает одна из SQL

инъекций:


GET http://cybear32c.lab/wp-content/plugins/wp-symposium/get_alb...; -- HTTP/1.1


Получаем номер версии MySQL:

Тестирования на проникновение часть 2. Взлом, Уязвимость, Kali linux, Сети, Лаборатория, Информационная безопасность, Длиннопост

Результат: 5.5.49-0+deb8u1.

Дело за малым — осталось эксплуатировать эту уязвимость с помощью


SQLmap:

Тестирования на проникновение часть 2. Взлом, Уязвимость, Kali linux, Сети, Лаборатория, Информационная безопасность, Длиннопост

Так как в данном случае инъекция происходит в имя колонки (а не в значение, как обычно), важно указать суффикс после payload (‘ -- ’) для того, чтобы SQLmap сконцентрировался именно на этом типе инъекции. Если этого не сделать, SQLmap может ошибочно определить

тип инъекции как blind, и в таком случае вытягивать данные будет очень затруднительно и долго.

Получаем доступные базы с использованием опции --dbs:
Тестирования на проникновение часть 2. Взлом, Уязвимость, Kali linux, Сети, Лаборатория, Информационная безопасность, Длиннопост
Затем таблицы (-D tl9_mainsite --tables):
Тестирования на проникновение часть 2. Взлом, Уязвимость, Kali linux, Сети, Лаборатория, Информационная безопасность, Длиннопост

И осталось только получить данные из таблицы wp_token с помощью

команды:

Тестирования на проникновение часть 2. Взлом, Уязвимость, Kali linux, Сети, Лаборатория, Информационная безопасность, Длиннопост
Тестирования на проникновение часть 2. Взлом, Уязвимость, Kali linux, Сети, Лаборатория, Информационная безопасность, Длиннопост
токен bypass

Во время сканирования портов обнаружился в том числе и https ресурс на порту 443. Беглый анализ и утилита dirb ничего интересного не дали:

Тестирования на проникновение часть 2. Взлом, Уязвимость, Kali linux, Сети, Лаборатория, Информационная безопасность, Длиннопост

Ресурс доступен по https, при этом видимо в разработке и давно не обновлялся. Проверим нашумевшую в 2014-м уязвимость heartbleed:

Тестирования на проникновение часть 2. Взлом, Уязвимость, Kali linux, Сети, Лаборатория, Информационная безопасность, Длиннопост

Сервис уязвим! Для эксплуатации воспользуемся скриптом отсюда:

https://gist.github.com/eelsivart/10174134. После прочтения множества (не)интересной информации и сотни попыток (главное не сдаваться раньше времени :), находим кое-что интересное:

Тестирования на проникновение часть 2. Взлом, Уязвимость, Kali linux, Сети, Лаборатория, Информационная безопасность, Длиннопост

Кто-то зашел туда и скачал старый бэкап — давайте и мы это сделаем:

Тестирования на проникновение часть 2. Взлом, Уязвимость, Kali linux, Сети, Лаборатория, Информационная безопасность, Длиннопост

Вот и токен, а вместе с ним несколько новых аккаунтов и хеши их паролей.

Пробуем восстановить пароли из хешей (Apache apr1 хеш в hashcat идет под номером 1600):

Тестирования на проникновение часть 2. Взлом, Уязвимость, Kali linux, Сети, Лаборатория, Информационная безопасность, Длиннопост

Получаем уже известный из mainsite пароль b.muncy, а также

остальные пароли других аккаунтов.

Очень полезно записывать все найденные учетные данные и пароли, для того чтобы в будущем иметь возможность проверять их быстро изучая новую цель, т.к. пароли пользователей в корпоративной сети с высокой вероятностью будут повторяться от одного сервиса к другому.


атакуем ssh

Несмотря на предыдущее замечание, к сожалению, ни один из найденных паролей пока что не подошел к почте, что обычно дает очень неплохие результаты в продвижении вглубь корпоративной сети. Не беда, попробуем подключиться к SSH на порту 22 и

попробовать там. Пробуем, и видим следующую картину:

Тестирования на проникновение часть 2. Взлом, Уязвимость, Kali linux, Сети, Лаборатория, Информационная безопасность, Длиннопост

Довольно необычная ситуация для подключения по SSH — видимо

используется собственный модуль для аутентификации. Кроме того, обращаем внимание что система запрашивает сначала “The password”, а потом еще и “Password”.

Пробуем все найденные учетные данные в разных комбинациях — безрезультатно.

Так как ни почта ни SSH не принесли желаемых результатов, а других доступных сервисов больше не остается, видимо мы что-то упустили. SSH важен еще и тем, что мы получим доступ внутрь корпоративной сети и сможем продвинуться дальше, поэтому нам интересно

сконцентрироваться на нем.

Пробуем еще раз, и видим автора скрипта: Pam (c) krakenwaffe — не

похоже на что-то стандартное.


Ищем это в Google, и вскоре находим аккаунт разработчика krakenwaffe

на Github, который к тому же работает в компании cybear32c — интересно!

Тестирования на проникновение часть 2. Взлом, Уязвимость, Kali linux, Сети, Лаборатория, Информационная безопасность, Длиннопост

Изучив contributions некого Девида, видим единственный файл: mypam.c, расположенный здесь, https://github.com/krakenwaffe/eyelog/blob/master/mypam.c. После беглого анализа кода становится понятно, что это именно тот модуль, в котором мы пытаемся авторизоваться, и который запрашивает у нас “The password”.

Тестирования на проникновение часть 2. Взлом, Уязвимость, Kali linux, Сети, Лаборатория, Информационная безопасность, Длиннопост
Под рутом зайти не получится, смотрим что дальше…

Внимание привлекает следующий участок:

Тестирования на проникновение часть 2. Взлом, Уязвимость, Kali linux, Сети, Лаборатория, Информационная безопасность, Длиннопост

Видим, что введенный пароль проходит сравнение с daypass<день><час>. Пробуем подставить текущее значение, а именно “daypass80” на момент написания этого документа:

Тестирования на проникновение часть 2. Взлом, Уязвимость, Kali linux, Сети, Лаборатория, Информационная безопасность, Длиннопост

Все равно не срабатывает… Тогда вспоминаем как зовут нашего

разработчика, который поделился с нами паролем через Github — David Nash. Пробуем зайти под d.nash:

Тестирования на проникновение часть 2. Взлом, Уязвимость, Kali linux, Сети, Лаборатория, Информационная безопасность, Длиннопост
Получилось! Мы зашли на SSH сервер. Посмотрим что есть вокруг:
Тестирования на проникновение часть 2. Взлом, Уязвимость, Kali linux, Сети, Лаборатория, Информационная безопасность, Длиннопост

Помимо токена в папке .ssh также находим и приватный ключ для

подключения к другим серверам (к каким — можно узнать поработав с файлом known_hosts) — наверняка пригодится в дальнейшем!

Теперь мы получаем плацдарм для следующих атак, и перед нами открывается вся корпоративная сеть компании CyBear32C.

Тестирования на проникновение часть 2. Взлом, Уязвимость, Kali linux, Сети, Лаборатория, Информационная безопасность, Длиннопост
Следующие шаги

После взятия SSH можно выходить на все остальные компьютеры в сети — с какого начать? В первую очередь, стоит просканировать все три подсети с помощью nmap, любезно предоставленного прямо на сервере SSH и изучить доступные сервисы.

На данном этапе практически все внутренние ресурсы, за исключением Windows-машин и сервера dev будут доступны для атаки — можно пробрасывать порты и пробовать.

ПРОБРОС ПОРТОВ

Чтобы обеспечить удобный доступ к внутренней сети через вновь появившееся SSH подключение есть множество способов.

В первую очередь рекомендую статью «Pivoting или проброс портов» по

адресу https://habrahabr.ru/post/302168/

Кроме того, полезно знать интересную возможность стандартного SSH клиента — проброс портов без перезапуска сессии и добавления параметров в командную строку.

Для этого достаточно нажать комбинацию Shift+~+C и перейти в

командный режим работы:

Тестирования на проникновение часть 2. Взлом, Уязвимость, Kali linux, Сети, Лаборатория, Информационная безопасность, Длиннопост

После ввода нужной команды мы получим доступ к 80-му порту

сервера 192.168.0.6 (photo) через порт 8086 на 127.0.0.1:

Тестирования на проникновение часть 2. Взлом, Уязвимость, Kali linux, Сети, Лаборатория, Информационная безопасность, Длиннопост

Послесловие

Надеюсь этот небольшой документ дает достаточно информации

чтобы начать ваше собственное тестирование на проникновение, и проверить на что вы способны в почти настоящей и хорошо защищенной сети компании. В лаборатории 14 токенов, из которых мы пока взяли только три, так что все еще впереди.

Надеюсь вам понравится лаборатория. Она будет доступна до ноября, поэтому времени на обучение будет достаточно. Не сдавайтесь в процессе, и, как говорится, Try Harder.

Удачи!


Автор Алексей Столетний.

Источник: https://lab.pentestit.ru/docs/TL9_WU_ru.pdf


Отдельное спасибо за участие

#comment_67177253

#comment_67195788


P.S. БМ втирает какую-то дичь.

Показать полностью 22

Тестирования на проникновение часть 1.

Отказ от ответственности: Вся информация в этом документе

предоставлена исключительно в образовательных целях. Продолжая читать этот документ вы соглашаетесь не использовать эту информацию в незаконных целях, и подтверждаете, что вы и только вы несете полную ответственность за свои действия основанные или знания, полученные благодаря информации из этого документа.



Прежде чем начать, нужно зарегистрироваться в лаборатории, настроить VPN-соединение и подключиться к сети виртуальной компании CyBear32C.


Зарегистрируйтесь здесь: https://lab.pentestit.ru/

и затем следуйте инструкциям на странице https://lab.pentestit.ru/how-to-connect для того, чтобы подключиться.

Для проведения тестирования я рекомендую установить в виртуальной

машине Kali Linux — специальный дистрибутив Линукса для пентестеров, в котором есть все необходимое чтобы приступить к делу. Если вы этого еще не сделали, самое время: https://www.kali.org/.


начинаем тестирование

После регистрации и подключения мы видим следующую схему сети:

Тестирования на проникновение часть 1. Проникновение, Сети, Kali linux, Информационная безопасность, Лаборатория, Pentestit, Длиннопост

VPN-подключение остается за кадром, и после него мы получаем

доступ к единственному внешнему IP компании CyBear32C — 192.168.101.8, который в реальной жизни был бы шлюзом в интернет.

Начнем, как обычно, с enumeration, и, в частности, со сканирования портов, чтобы определить какие сервисы из внутренних подсетей доступны снаружи.

Начнем с быстрого сканирования портов.

Тестирования на проникновение часть 1. Проникновение, Сети, Kali linux, Информационная безопасность, Лаборатория, Pentestit, Длиннопост

Как видим, нам доступен целый набор сервисов с разных внутренних

машин (см. схему сети), включая, вероятнее всего, сервер mainsite (порт 80), сервер mail (25, 8100), ssh (порт 22) и другие. Кроме того, есть еще https ресурс и прокси сервер.


изучаем mainsite

Начнем с того чтобы зайти по адресу http://192.168.101.8/:

Тестирования на проникновение часть 1. Проникновение, Сети, Kali linux, Информационная безопасность, Лаборатория, Pentestit, Длиннопост

Нас автоматически редиректит на www.cybear32c.lab, посмотрим на это

внимательнее:

Тестирования на проникновение часть 1. Проникновение, Сети, Kali linux, Информационная безопасность, Лаборатория, Pentestit, Длиннопост

Нам приходит заголовок Location: http://cybear32c.lab — виртуальный

хост по которому, собственно, и будет доступен сайт компании.

Тестирования на проникновение часть 1. Проникновение, Сети, Kali linux, Информационная безопасность, Лаборатория, Pentestit, Длиннопост
Добавляем нужный домен в /etc/hosts и пробуем еще раз:
Тестирования на проникновение часть 1. Проникновение, Сети, Kali linux, Информационная безопасность, Лаборатория, Pentestit, Длиннопост

Отлично, сайт поднялся, и можно его начать изучать. Попробуем понять, что это такое. Перед тем, как начать изучать сайт вручную можно запустить утилиту whatweb, а затем dirb, которая поможет определить какие есть поддиректории (можно воспользоваться и

другими сканерами, например nikto):

Тестирования на проникновение часть 1. Проникновение, Сети, Kali linux, Информационная безопасность, Лаборатория, Pentestit, Длиннопост

Видим, что коды ответов на все запросы равны 403 — наверняка сайт

защищен WAF-ом. Так как в браузере все работает, пробуем подставить

User Agent, и находим несколько интересных страниц:

Тестирования на проникновение часть 1. Проникновение, Сети, Kali linux, Информационная безопасность, Лаборатория, Pentestit, Длиннопост

Параллельно смотрим на сайт, видим, что это — Wordpress,

защищенный WAF-ом. Заход на страницу /admin переводит нас на закрытый wp-login.php

Тестирования на проникновение часть 1. Проникновение, Сети, Kali linux, Информационная безопасность, Лаборатория, Pentestit, Длиннопост

Для Wordpress сайтов есть великолепная утилита wpscan, которая

позволяет проверить их на наличие плагинов с уязвимостями. Пробуем для начала посмотреть общую информацию по сайту, подставив нужный user agent. Он тут же находит несколько проблем, в том числе и уязвимый к SQL injection плагин wp-symposium v15.1.

Тестирования на проникновение часть 1. Проникновение, Сети, Kali linux, Информационная безопасность, Лаборатория, Pentestit, Длиннопост
Тестирования на проникновение часть 1. Проникновение, Сети, Kali linux, Информационная безопасность, Лаборатория, Pentestit, Длиннопост

Отлично, пробуем проэксплуатировать каждую из приведенных уязвимостей с помощью эксплоитов по ссылкам… К сожалению срабатывает WAF, и запросы с пэйлоадами на SQL не проходят.


Попробуем его обойти…

Часто многие Web Application Firewalls используют сигнатуры атак, которые можно обойти немного изменив синтаксис: добавив конкатенацию, или изменив регистр в запросе: vErSiOn вместо version, например. Обход WAF — отдельная серьезная тема, которой можно

посвятить множество книг и статей.

К сожалению, эти варианты не сработали. Вспомним о прокси на порту

3128 и попробуем настроить браузер на работу через него.

Тестирования на проникновение часть 1. Проникновение, Сети, Kali linux, Информационная безопасность, Лаборатория, Pentestit, Длиннопост
Прокси запрашивает авторизацию:
Тестирования на проникновение часть 1. Проникновение, Сети, Kali linux, Информационная безопасность, Лаборатория, Pentestit, Длиннопост

Здесь нам пригодятся данные из графы Contact Us, которые мы видим

на этом же сайте.

Создаем текстовый файл со словариком и двумя учетными записями:

b.muncy и r.diaz, и пробуем подобрать пароль:

Тестирования на проникновение часть 1. Проникновение, Сети, Kali linux, Информационная безопасность, Лаборатория, Pentestit, Длиннопост

Удачно! Сайт больше не говорит о неправомерных действиях — WAF повержен.

Теперь попробуем еще раз зайти на сайт через прокси и авторизоваться в нем. Результат в данном случае уже выглядит по-другому (сайт также доступен по внутреннему IP: 172.16.0.5, но другие внутренние сервисы все еще недоступны):

Тестирования на проникновение часть 1. Проникновение, Сети, Kali linux, Информационная безопасность, Лаборатория, Pentestit, Длиннопост

Продолжение следует...

Пы.сы. Спасибо за 1000 подписок.

Показать полностью 15

Шпионы за работой или с КГБ шутки плохи.

Когда в 1980-е годы в Москве строилось посольство США, к этому были привлечены "Морские пчелы" - специалисты из строительных подразделений ВМС. Они должны были следить за действиями русских строителей , среди которых могли быть агенты КГБ . Один из "Пчел" считал себя специалистом по шпионажу - в конце концов, он же прочел почти все романы о Джеймсе Бонде . Он поделился со своими сослуживцами предположением, что каждый день, пока они работают, КГБ проникает к ним в номера в отеле и роется в их вещах . Вот умник и придумал ловушку : он "Зарядил" один из своих чемоданов балончиком с пеной для бритья, который должен был "выстрелить" в того, кто попытался бы незаконно открыть чемодан .

Закончив в тот день работу, умник вместе с сослуживцами бросился к себе в комнату, чтобы посмотреть, сработала ли ловушка.

И оказалось, что сработала . Чемодан был приоткрыт, и повсюду разбрызгана пена. Поздравляя себя с тем, что перехитрил КГБ, умник вдруг почуял странный запах. Он открыл чемодан и обнаружил, что кто-то испражнился на лежавшую в нем одежду.

Мораль истории: никогда не хвались, что знаешь все это шпионское дерьмо, пока сам

в него не вляпался.


Источник: Кит Мелтон "Офисный шпионаж"

Cпособ украсть ваш пароль от Яндекс почты.

Ваш пароль от яндекса достаточно ценная информация, особенно если вы используете яндекс.деньги. И сегодня я наблюдал довольно хитрый и замороченный метод, как у меня пытались этот пароль увести. Решил показать этот метод тут, чтобы никто из наших не попался или хотя бы кто-то кто случайно это прочитает — не повёлся.

Cпособ украсть ваш пароль от Яндекс почты. Пароль, Взлом, Яндекс, Почта, Длиннопост, Фишинг, Geektimes
Итак, получил я сегодня письмо от моего регистратора и в поле отправитель вижу привычное: «RU-CENTER <no-replay@nic.ru>». Хотя в это даже особо не вглядываешься, так как тема письма достаточно цепляющая.
Cпособ украсть ваш пароль от Яндекс почты. Пароль, Взлом, Яндекс, Почта, Длиннопост, Фишинг, Geektimes
И что-то меня в письме смутило, наверно отсутствие значка, которое есть в обычных письмах от руцентра.
Cпособ украсть ваш пароль от Яндекс почты. Пароль, Взлом, Яндекс, Почта, Длиннопост, Фишинг, Geektimes

То есть раз проверки DKIM не пройдены — значит поле отправитель мог заполнить кто угодно и это явно не руцентр. Но в чём подвох пока понять не могу.



Далее кликаю на ссылку «посмотреть приложенный документ» (которая выглядит как обычная ссылка от яндекса, а не продукт хитрой HTML-вёрстки) — попадаешь на страничку очень похожую на Яндект документ с текстом заявления, но уже через 2 секунды неожиданно «слетает авторизация» и надо ввести пароль. Надо сказать, изобретательно сделано.

Cпособ украсть ваш пароль от Яндекс почты. Пароль, Взлом, Яндекс, Почта, Длиннопост, Фишинг, Geektimes

Тут стоит обратить внимание на домен. И он явно не от яндекса.



Поняв, что они хотят получить пароль — я ввёл случайный набор символов и «о чудо» авторизировался и смог неспешно прочитать «жалобу». На этом всё, будьте внимательны и никому не отдавайте ваш пароль.


Источник: https://geektimes.ru/company/dronk/blog/276950/

Показать полностью 3

Шпионы за работой.

В начале "Холодной войны" двух молодых и рьяных офицеров безопасности

госдепартамента США послали в качестве наблюдателей на первую послевоенную встречу американских послов из стран Восточной Европы, проходившую в Вене. Предупрежденные об агрессивных методах, использовавшихся сотрудниками КГБ из находящегося неподалеку

посольства СССР, молодые офицеры потребовали поселить их в номере прямо над большим конференц-залом шикарного отеля ,где должна была состояться встреча .

Их первой задачей был тщательный обыск помещения на предмет

подслушивающих устройств : ведь всего лишь год назад в резиденции американского посла в Москве было найдено необычное подслушивающее устройство , скрытое в резной деревянной панели. Под коврами в номере контрразведчики обнаружили большой латунный предмет, встроенный в пол прямо над находящимся внизу залом.


Парочка работала всю ночь, чтобы убрать его. С помощью набора

инструментов , взятого в посольстве США, они наконец сумели выдрать предмет из пола . На первый взгляд это была просто толстая витая латунная палка, но умельцы были уверены, что вашингтонские специалисты, просветив ее рентгеновскими лучами, найдут внутри детали

подслушивающего устройства .

Когда, спустившись по главной лестнице, ретивые офицеры взглянули

в сторону зала заседаний , то заметили, что там царит шум и неразбериха. Огромная хрустальная люстра, подаренная отелю 125 лет назад Людвигом 1 Баварским, рухнула с потолка и вдребезги разбилась.


Встреча состоялась на следующий день, но в другом отеле и без участия молодых офицеров, которых потихоньку выпроводили из страны .


Источник: Кит Мелтон "Офисный шпионаж"

Показать полностью
Отличная работа, все прочитано!