09-29-2022 Thu 18:48:59
Эксперт
-
Автор темы
- #1
Всем здравствуйте.
Чуть больше года назад я делал тред на форуме, где рассказал о том, что нашёл множество технических уязвимостей в школе, где учился. Почитав ваши ответы, я принял решение молчать о том, что нашёл серьезную дыру в безопасности. Но это был далеко не конец...... но давайте по порядку.
Акт первый: проникнуть в локальную сеть.
Во всех школах Москвы работает бесплатный Wi-Fi для всех учащихся. Он имеет интеграцию с сервисом
Пожалуйста, авторизуйтесь для просмотра ссылки.
; работает в основном под оборудованием Cisco, оно имеет неплохую защиту (хоть и в нём тоже обнаруживали уязвимости). Я пытался провести получить доступ к нему, но ничего не вышло, но это, в целом, Не так уж и важно.Важно то, что помимо него работал в моей школе другой Wi-Fi, который уже никоим образом не был связан с
Пожалуйста, авторизуйтесь для просмотра ссылки.
, и ключевой момент это то, что он уже не был предназначен для учащихся. Он предназначен для сотрудников школы. Он-то и послужил моей точкой входа. Но для начала к нему нужно получить доступ. Где взять пароль? Получить пароль было довольно легко. Беглым "осмотром" я заметил, что на ТД включен WPS, а маршрутизатором был ASUS. И нет, я не клоню к Pixie Dust, хоть и маршрутизаторы этой компании были сильно подвержены атакам такого рода.Но тут оказалось всё гораздо проще. Значительно проще. Помните про утилиту Router Scan из моего поста про сканирование локальной сети провайдера? Так вот, её я не использовал, но кто-то до меня (ещё в 2019 году) отсканировал локальную сеть провайдера МГТС, где и оказался этот самый ASUS. Разумеется, этот ASUS находился за NAT. Кстати, он оказался за двойным натом =) Из базы данных я получил всю недостающую информацию о этой точке доступа. Пароль подошёл. Я внутри локальной сети 192.168.1/24. Можно начинать внутреннюю разведку.
Акт второй: разведка внутри локальной сети.
Пожалуй, это был один из самых интересных "актов" в этой истории. И предельно простой. Я воспользовался всё тем же Router Scan (а чем же ещё?) для сканирования локальной сети, и как уже говорил в треде от сентября 2022, нашёл множество устройств (камеры, принтеры, роутеры, серверы, IP-телефоны и т.д). Но меня интересовали только определенные устройства, что я нашёл:- Роутеры MikroTik (о них несколько позже)
- Гипервизор VMWare ESXi
- Серверы
Пожалуйста, авторизуйтесь для просмотра ссылки.
. Я получил данные для входа. Зашёл в веб-панель роутера.В настройках роутера я ничего не менял (это мне было не к чему, к тому же вероятность спалиться была высока (спойлер: я спалился, но не на этом этапе)).
Меня интересовало другое. Маршруты. В этой вкладке я обнаружил несколько других диапазонов внутри локальной сети, и принялся их сканировать. Но прежде чем сканировать, я сделал уже первую находку. Поскольку тот ASUS оказался за двойным натом, я мог спокойно взаимодействовать с устройствами, которые находились в локальной сети микротиков, а именно 172.16.10.0/23. В ней и была находка, о которой я сказал выше - сервер с адресом в локальной сети 172.16.10.5. Он работал под управлением Windows Server 2008. На нём был проброшен порт RDP (3389). И как вы думаете, что я сделал? Правильно, подключился. Всё потому, что пароли на сервере и роутере MikroTik были одинаковые. Причем до смеха простые. Но весьма оригинальные. Получил доступ к рабочему столу, моему взору был представлен ряд установленных программ, в числе них был (1С Бухгалтерия) и одна папка. Больше ничего интересного. Показал другу, поугарали с безответственности системных администраторов, и я даже закинул туда Anydesk, чтобы всегда иметь доступ к этому серверу, даже из дома. Спойлер: Anydesk там продержался недолго, меня спалили, сервер оказался через непродолжительное время отключен. Ну или фаерволл поставили, что он любые ICMP-реквесты дропал, а в локалке никак не отображался. Но это ладно, идём дальше. В маршрутах на микротике я также увидел подсеть 172.16.11.0/23. Здесь оказалась золотая жила.
Та самая виртуальная машина, на которой был установлен 1С; обои поставил по приколу, потом убрал уже
Акт третий: золотая жила.
Среди массы компьютеров, роутеров, IP-камер, IP-телефонов и прочего, при сканировании этой подсети я наткнулся на устройство с адресом 172.16.11.250. Router Scan в поле Realm name сообщал о том, что это некий VMWare ESXi, о существовании которого я не знал. 80/443 порты были открыты, но на них меня не пускало, браузер писал об отсутствии некого SSL-сертификата (на компьютерах администрации школы (не системных администраторов) он был установлен, и я однажды попал по этому адресу, но ничего дельного для себя не увидел) Для чего это было делать? Безопасности ради? Ха-ха три раза, очень безопасно и предусмотрительно, весьма продуманный ход (нет). Каков мой дальнейший вектор действий? Да всё тот же. Сканирование портов. Помимо 80 и 443, я увидел открытый порт 22, SSH. Оставлять этот порт открытым было ОЧЕНЬ безответственно, это, пожалуй, самая грубая ошибка в плане безопасности, из всех, что я увидел. Но давайте вернемся. Я попробовал подключиться по этому порту. Коннект не отклонило. Попробовал авторизоваться с ранее полученными данными. Пустило. Тут-то и началось веселье. В ESXi я нашёл несколько работающих виртуальных машин. И я задался вполне логичным вопросом. Как доступ-то к ним получить? Мне и тут повезло. Всё дело в том, что ESXi позволяет для любой виртуальной машины ПРОБРОСИТЬ VNC ДЛЯ ДОСТУПА К НИМ. Этим я, собственно, и занялся. Для этого было достаточно слегка подредактировать конфигурацию интересующей виртуальной машины, что я и сделал. Ну что же, конфигурационный файл отредактирован, виртуальная машина перезагружена. Прописываю интересующий адрес в VNC viewer'e...Акт третий: золотая жила.
... и это победа. Я выбрал правильную машину. Это был контроллер домена, который имел адрес в локальной сети 172.16.10.10. К нему, разумеется, по RDP, и уж тем более по VNC подключиться было нельзя. Но я выкрутился и получил к нему доступ, только уже непосредственно через сам гипервизор.
Продолжим. В контроллер домена был выполнен вход под одной из учетных записей местных системных администраторов, и я начал изучать строение домена. В нём оказались учетные записи учителей. То есть, при желании можно было просто напросто УДАЛИТЬ (или заблокировать) учетную запись, тем самым по меньшей мере сорвать учебный процесс с использованием компьютера. Но этого, разумеется, я делать не стал.
Фото из диспетчера сервера с контроллера домена ниже:
На этом мой так называемый пентест окончился: был получен доступ, по сути, ко всему, чему только можно, в плане Active Directory, как и к гипервизору VMWare ESXi.
Кстати, на ноутбуках учителей был проброшен VNC, что тоже ставило безопасность внутри локальной сети под угрозу. А VNC был без пароля. Этим, разумеется, я воспользовался, было забавно закрывать учителю браузер во время урока, выходить из системы, и так далее.
Ну и ко всем сетевым дискам доступ я тоже получил, было интересно почитать. Например про расположение камер в здании школы, и так далее.
На этом, собственно, всё, и всем тем, кто дочитал до конца,
Спасибо за прочтение!
Надеюсь, вы узнали для себя что-нибудь новое, или вам было просто интересно почитать мою историю.
Последнее редактирование:
