Разведка внутри локальной сети. От получения пароля для Wi-Fi до доступа к Контроллеру Домена, или как я провел незаконный "пентест" в школе

09-29-2022 Thu 18:48:59
Эксперт
Статус
Оффлайн
Регистрация
28 Ноя 2019
Сообщения
1,217
Реакции[?]
411
Поинты[?]
108K
Всем здравствуйте.
Чуть больше года назад я делал тред на форуме, где рассказал о том, что нашёл множество технических уязвимостей в школе, где учился. Почитав ваши ответы, я принял решение молчать о том, что нашёл серьезную дыру в безопасности. Но это был далеко не конец...
... но давайте по порядку.

Акт первый: проникнуть в локальную сеть.
Во всех школах Москвы работает бесплатный Wi-Fi для всех учащихся. Он имеет интеграцию с сервисом
Пожалуйста, авторизуйтесь для просмотра ссылки.
; работает в основном под оборудованием Cisco, оно имеет неплохую защиту (хоть и в нём тоже обнаруживали уязвимости). Я пытался провести получить доступ к нему, но ничего не вышло, но это, в целом, Не так уж и важно.
Важно то, что помимо него работал в моей школе другой Wi-Fi, который уже никоим образом не был связан с
Пожалуйста, авторизуйтесь для просмотра ссылки.
, и ключевой момент это то, что он уже не был предназначен для учащихся. Он предназначен для сотрудников школы. Он-то и послужил моей точкой входа. Но для начала к нему нужно получить доступ. Где взять пароль? Получить пароль было довольно легко. Беглым "осмотром" я заметил, что на ТД включен WPS, а маршрутизатором был ASUS. И нет, я не клоню к Pixie Dust, хоть и маршрутизаторы этой компании были сильно подвержены атакам такого рода.
Но тут оказалось всё гораздо проще. Значительно проще. Помните про утилиту Router Scan из моего поста про сканирование локальной сети провайдера? Так вот, её я не использовал, но кто-то до меня (ещё в 2019 году) отсканировал локальную сеть провайдера МГТС, где и оказался этот самый ASUS. Разумеется, этот ASUS находился за NAT. Кстати, он оказался за двойным натом =) Из базы данных я получил всю недостающую информацию о этой точке доступа. Пароль подошёл. Я внутри локальной сети 192.168.1/24. Можно начинать внутреннюю разведку.

Акт второй: разведка внутри локальной сети.
Пожалуй, это был один из самых интересных "актов" в этой истории. И предельно простой. Я воспользовался всё тем же Router Scan (а чем же ещё?) для сканирования локальной сети, и как уже говорил в треде от сентября 2022, нашёл множество устройств (камеры, принтеры, роутеры, серверы, IP-телефоны и т.д). Но меня интересовали только определенные устройства, что я нашёл:
  • Роутеры MikroTik (о них несколько позже)
  • Гипервизор VMWare ESXi
  • Серверы
О роутерах MikroTik. В следствие некомпетентности (или что это вообще?) на роутерах была установлена уязвимая прошивка RouterOS; уязвимость позволяла получить доступ к учетным данным на роутере с привилегиями администратора. Router Scan, естественно, с лёгкостью применил
Пожалуйста, авторизуйтесь для просмотра ссылки.
. Я получил данные для входа. Зашёл в веб-панель роутера.
В настройках роутера я ничего не менял (это мне было не к чему, к тому же вероятность спалиться была высока (спойлер: я спалился, но не на этом этапе)).
Меня интересовало другое. Маршруты. В этой вкладке я обнаружил несколько других диапазонов внутри локальной сети, и принялся их сканировать. Но прежде чем сканировать, я сделал уже первую находку. Поскольку тот ASUS оказался за двойным натом, я мог спокойно взаимодействовать с устройствами, которые находились в локальной сети микротиков, а именно 172.16.10.0/23. В ней и была находка, о которой я сказал выше - сервер с адресом в локальной сети 172.16.10.5. Он работал под управлением Windows Server 2008. На нём был проброшен порт RDP (3389). И как вы думаете, что я сделал? Правильно, подключился. Всё потому, что пароли на сервере и роутере MikroTik были одинаковые. Причем до смеха простые. Но весьма оригинальные. Получил доступ к рабочему столу, моему взору был представлен ряд установленных программ, в числе них был (1С Бухгалтерия) и одна папка. Больше ничего интересного. Показал другу, поугарали с безответственности системных администраторов, и я даже закинул туда Anydesk, чтобы всегда иметь доступ к этому серверу, даже из дома. Спойлер: Anydesk там продержался недолго, меня спалили, сервер оказался через непродолжительное время отключен. Ну или фаерволл поставили, что он любые ICMP-реквесты дропал, а в локалке никак не отображался. Но это ладно, идём дальше. В маршрутах на микротике я также увидел подсеть 172.16.11.0/23. Здесь оказалась золотая жила.
1705220059446.png
1705221151427.png
Та самая виртуальная машина, на которой был установлен 1С; обои поставил по приколу, потом убрал уже
Акт третий: золотая жила.
Среди массы компьютеров, роутеров, IP-камер, IP-телефонов и прочего, при сканировании этой подсети я наткнулся на устройство с адресом 172.16.11.250. Router Scan в поле Realm name сообщал о том, что это некий VMWare ESXi, о существовании которого я не знал. 80/443 порты были открыты, но на них меня не пускало, браузер писал об отсутствии некого SSL-сертификата (на компьютерах администрации школы (не системных администраторов) он был установлен, и я однажды попал по этому адресу, но ничего дельного для себя не увидел) Для чего это было делать? Безопасности ради? Ха-ха три раза, очень безопасно и предусмотрительно, весьма продуманный ход (нет). Каков мой дальнейший вектор действий? Да всё тот же. Сканирование портов. Помимо 80 и 443, я увидел открытый порт 22, SSH. Оставлять этот порт открытым было ОЧЕНЬ безответственно, это, пожалуй, самая грубая ошибка в плане безопасности, из всех, что я увидел. Но давайте вернемся. Я попробовал подключиться по этому порту. Коннект не отклонило. Попробовал авторизоваться с ранее полученными данными. Пустило. Тут-то и началось веселье. В ESXi я нашёл несколько работающих виртуальных машин. И я задался вполне логичным вопросом. Как доступ-то к ним получить? Мне и тут повезло. Всё дело в том, что ESXi позволяет для любой виртуальной машины ПРОБРОСИТЬ VNC ДЛЯ ДОСТУПА К НИМ. Этим я, собственно, и занялся. Для этого было достаточно слегка подредактировать конфигурацию интересующей виртуальной машины, что я и сделал. Ну что же, конфигурационный файл отредактирован, виртуальная машина перезагружена. Прописываю интересующий адрес в VNC viewer'e...
... и это победа. Я выбрал правильную машину. Это был контроллер домена, который имел адрес в локальной сети 172.16.10.10. К нему, разумеется, по RDP, и уж тем более по VNC подключиться было нельзя. Но я выкрутился и получил к нему доступ, только уже непосредственно через сам гипервизор.
Продолжим. В контроллер домена был выполнен вход под одной из учетных записей местных системных администраторов, и я начал изучать строение домена. В нём оказались учетные записи учителей. То есть, при желании можно было просто напросто УДАЛИТЬ (или заблокировать) учетную запись, тем самым по меньшей мере сорвать учебный процесс с использованием компьютера. Но этого, разумеется, я делать не стал.
Фото из диспетчера сервера с контроллера домена ниже:
1705221368980.png
На этом мой так называемый пентест окончился: был получен доступ, по сути, ко всему, чему только можно, в плане Active Directory, как и к гипервизору VMWare ESXi.
Кстати, на ноутбуках учителей был проброшен VNC, что тоже ставило безопасность внутри локальной сети под угрозу. А VNC был без пароля. Этим, разумеется, я воспользовался, было забавно закрывать учителю браузер во время урока, выходить из системы, и так далее.
Ну и ко всем сетевым дискам доступ я тоже получил, было интересно почитать. Например про расположение камер в здании школы, и так далее.
На этом, собственно, всё, и всем тем, кто дочитал до конца,
Спасибо за прочтение!
Надеюсь, вы узнали для себя что-нибудь новое, или вам было просто интересно почитать мою историю.
 
Последнее редактирование:
Privatny p100 DT Airlag Break LC Teleport Exploit
Read Only
Статус
Оффлайн
Регистрация
27 Янв 2021
Сообщения
951
Реакции[?]
150
Поинты[?]
74K
Ничего не понял но очень интересно
 
пупс, поцелуй
Участник
Статус
Оффлайн
Регистрация
28 Май 2019
Сообщения
1,049
Реакции[?]
322
Поинты[?]
14K
Мне понравилась статья, круто было почитать
А еще было бы интересно посмотреть на твой блог пинтеста в целом
 
Начинающий
Статус
Оффлайн
Регистрация
20 Апр 2021
Сообщения
136
Реакции[?]
27
Поинты[?]
6K
Чуть больше года назад я делал тред на форуме,
в том треде можно было анонимку на почту школы написать.

это вряд-ли бы кто-то прочитал, ну в случае чего)

// тред забавный, ТСу бы лайк влепил, если бы была возможность :4Head:
 
unbound
Пользователь
Статус
Оффлайн
Регистрация
27 Окт 2019
Сообщения
269
Реакции[?]
90
Поинты[?]
60K
Ну это было довольно интересно, не часто увидишь здесь такое
 
09-29-2022 Thu 18:48:59
Эксперт
Статус
Оффлайн
Регистрация
28 Ноя 2019
Сообщения
1,217
Реакции[?]
411
Поинты[?]
108K
Мне понравилась статья, круто было почитать
А еще было бы интересно посмотреть на твой блог пинтеста в целом
У меня блога как такового нет, но все интересные "находки" я выкладываю сюда. Да и занимаюсь этим не так часто.
 
Последнее редактирование:
Начинающий
Статус
Оффлайн
Регистрация
28 Авг 2023
Сообщения
176
Реакции[?]
24
Поинты[?]
24K
Всем здравствуйте.
Чуть больше года назад я делал тред на форуме, где рассказал о том, что нашёл множество технических уязвимостей в школе, где учился. Почитав ваши ответы, я принял решение молчать о том, что нашёл серьезную дыру в безопасности. Но это был далеко не конец...
... но давайте по порядку.

Акт первый: проникнуть в локальную сеть.
Во всех школах Москвы работает бесплатный Wi-Fi для всех учащихся. Он имеет интеграцию с сервисом
Пожалуйста, авторизуйтесь для просмотра ссылки.
; работает в основном под оборудованием Cisco, оно имеет неплохую защиту (хоть и в нём тоже обнаруживали уязвимости). Я пытался провести получить доступ к нему, но ничего не вышло, но это, в целом, Не так уж и важно.
Важно то, что помимо него работал в моей школе другой Wi-Fi, который уже никоим образом не был связан с
Пожалуйста, авторизуйтесь для просмотра ссылки.
, и ключевой момент это то, что он уже не был предназначен для учащихся. Он предназначен для сотрудников школы. Он-то и послужил моей точкой входа. Но для начала к нему нужно получить доступ. Где взять пароль? Получить пароль было довольно легко. Беглым "осмотром" я заметил, что на ТД включен WPS, а маршрутизатором был ASUS. И нет, я не клоню к Pixie Dust, хоть и маршрутизаторы этой компании были сильно подвержены атакам такого рода.
Но тут оказалось всё гораздо проще. Значительно проще. Помните про утилиту Router Scan из моего поста про сканирование локальной сети провайдера? Так вот, её я не использовал, но кто-то до меня (ещё в 2019 году) отсканировал локальную сеть провайдера МГТС, где и оказался этот самый ASUS. Разумеется, этот ASUS находился за NAT. Кстати, он оказался за двойным натом =) Из базы данных я получил всю недостающую информацию о этой точке доступа. Пароль подошёл. Я внутри локальной сети 192.168.1/24. Можно начинать внутреннюю разведку.

Акт второй: разведка внутри локальной сети.
Пожалуй, это был один из самых интересных "актов" в этой истории. И предельно простой. Я воспользовался всё тем же Router Scan (а чем же ещё?) для сканирования локальной сети, и как уже говорил в треде от сентября 2022, нашёл множество устройств (камеры, принтеры, роутеры, серверы, IP-телефоны и т.д). Но меня интересовали только определенные устройства, что я нашёл:
  • Роутеры MikroTik (о них несколько позже)
  • Гипервизор VMWare ESXi
  • Серверы
О роутерах MikroTik. В следствие некомпетентности (или что это вообще?) на роутерах была установлена уязвимая прошивка RouterOS; уязвимость позволяла получить доступ к учетным данным на роутере с привилегиями администратора. Router Scan, естественно, с лёгкостью применил
Пожалуйста, авторизуйтесь для просмотра ссылки.
. Я получил данные для входа. Зашёл в веб-панель роутера.
В настройках роутера я ничего не менял (это мне было не к чему, к тому же вероятность спалиться была высока (спойлер: я спалился, но не на этом этапе)).
Меня интересовало другое. Маршруты. В этой вкладке я обнаружил несколько других диапазонов внутри локальной сети, и принялся их сканировать. Но прежде чем сканировать, я сделал уже первую находку. 172.16.10.5. Сервер под управлением Windows Server 2008. На нём был проброшен порт RDP (3389). И как вы думаете, что я сделал? Правильно, подключился. Всё потому, что на сервере и роутере MikroTik были одинаковые. Причем до смеха простые. Но весьма оригинальные. Получил доступ к рабочему столу, моему взору был представлен ряд установленных программ, в числе них был (1С Бухгалтерия) и одна папка. Больше ничего интересного. Показал другу, поугарали с безответственности системных администраторов, и я даже закинул туда Anydesk, чтобы всегда иметь доступ к этому серверу, даже из дома. Спойлер: Anydesk там продержался недолго, меня спалили, сервер оказался через непродолжительное время отключен. Ну или фаерволл поставили, что он любые ICMP-реквесты дропал, а в локалке никак не отображался. Но это ладно, идём дальше. В маршрутах на микротике я также увидел подсеть 172.16.11.0/23. Здесь оказалась золотая жила.

Акт третий: золотая жила.
Среди массы компьютеров, роутеров, IP-камер, IP-телефонов и прочего, при сканировании этой подсети я наткнулся на устройство с адресом 172.16.11.250. Router Scan в поле Realm name сообщал о том, что это некий VMWare ESXi, о существовании которого я не знал. 80/443 порты были открыты, но на них меня не пускало, браузер писал об отсутствии некого SSL-сертификата (на компьютерах администрации школы (не системных администраторов) он был установлен, и я однажды попал по этому адресу, но ничего дельного для себя не увидел) Для чего это было делать? Безопасности ради? Ха-ха три раза, очень безопасно и предусмотрительно, весьма продуманный ход (нет). Каков мой дальнейший вектор действий? Да всё тот же. Сканирование портов. Помимо 80 и 443, я увидел открытый порт 22, SSH. Оставлять этот порт открытым было ОЧЕНЬ безответственно, это, пожалуй, самая грубая ошибка в плане безопасности, из всех, что я увидел. Но давайте вернемся. Я попробовал подключиться по этому порту. Коннект не отклонило. Попробовал авторизоваться с ранее полученными данными. Пустило. Тут-то и началось веселье. В ESXi я нашёл несколько работающих виртуальных машин. И я задался вполне логичным вопросом. Как доступ-то к ним получить? Мне и тут повезло. Всё дело в том, что ESXi позволяет для любой виртуальной машины ПРОБРОСИТЬ VNC ДЛЯ ДОСТУПА К НИМ. Этим я, собственно, и занялся. Для этого было достаточно слегка подредактировать конфигурацию интересующей виртуальной машины, что я и сделал. Ну что же, конфигурационный файл отредактирован, виртуальная машина перезагружена. Прописываю интересующий адрес в VNC viewer'e...
... и это победа. Я выбрал правильную машину. Это был контроллер домена, который имел адрес в локальной сети 172.16.10.10. К нему, разумеется, по RDP, и уж тем более по VNC подключиться было нельзя. Но я выкрутился и получил к нему доступ, только уже непосредственно через сам гипервизор.
Продолжим. В контроллер домена был выполнен вход под одной из учетных записей местных системных администраторов, и я начал изучать строение домена. В нём оказались учетные записи учителей. То есть, при желании можно было просто напросто УДАЛИТЬ (или заблокировать) учетную запись, тем самым по меньшей мере сорвать учебный процесс с использованием компьютера. Но этого, разумеется, я делать не стал.
На этом мой так называемый пентест окончился: был получен доступ, по сути, ко всему, чему только можно, в плане Active Directory, как и к гипервизору VMWare ESXi.
Кстати, на ноутбуках учителей был проброшен VNC, такого тупого мува я вообще не понял. Причем без пароля. Этим, разумеется, я воспользовался, было забавно закрывать учителю браузер во время урока, выходить из системы, и так далее.
Ну и ко всем сетевым дискам доступ я тоже получил, было интересно почитать. Например про расположение камер в здании школы, и так далее.
На этом, собственно, всё, и всем тем, кто дочитал до конца,
Спасибо за прочтение!
Надеюсь, вы узнали для себя что-нибудь новое, или вам было просто интересно почитать мою историю.
Почему это не было размещено на форумах конкретно по взломам? История, увы, умалчивает....
 
09-29-2022 Thu 18:48:59
Эксперт
Статус
Оффлайн
Регистрация
28 Ноя 2019
Сообщения
1,217
Реакции[?]
411
Поинты[?]
108K
Участник
Статус
Оффлайн
Регистрация
13 Ноя 2020
Сообщения
1,230
Реакции[?]
180
Поинты[?]
70K
Почему это не было размещено на форумах конкретно по взломам? История, увы, умалчивает....
Почему ты сидишь на этом форуме, а не на форуме конкретно по взломам?
История, увы, умалчивает...
 
Пользователь
Статус
Оффлайн
Регистрация
26 Июн 2017
Сообщения
283
Реакции[?]
54
Поинты[?]
13K
Крутая история. Мне зашло, я бы почитал ещё что-то от тебя, только прикладывай какие-нибудь скрины или картинки, чтобы читать было ещё интереснее
Обезопась себя, иначе могут быть неприятные последствия
 
09-29-2022 Thu 18:48:59
Эксперт
Статус
Оффлайн
Регистрация
28 Ноя 2019
Сообщения
1,217
Реакции[?]
411
Поинты[?]
108K
Крутая история. Мне зашло, я бы почитал ещё что-то от тебя, только прикладывай какие-нибудь скрины или картинки, чтобы читать было ещё интереснее
Обезопась себя, иначе могут быть неприятные последствия
Добавил скрины, какие нашел, так будет интереснее.
 
Начинающий
Статус
Оффлайн
Регистрация
28 Авг 2023
Сообщения
176
Реакции[?]
24
Поинты[?]
24K
Почему ты сидишь на этом форуме, а не на форуме конкретно по взломам?
История, увы, умалчивает...
Мне и тут интересно + я редко интересуюсь взломали чего либо
 
Сверху Снизу