Пригласил меня как-то товарищ проверить состояние защищённости в своей организации. Праздное любопытство родилось из посыла, что “да любая “баба Нюра из бухгалтерии” может залезть в комп директора при желании и небольшой проф.переподготовки.”.
Для чистоты эксперимента решено было использовать только мисконфиг, без боевых эксплойтов, например, против бородатой MS17-010. Тем более, что по заверениям приятеля всё это они уже давно пропатчили.
Итак, погнали! Я не буду описывать полный кейс, лишь хочу отметить, что некогда описывал один вектор как нечто весьма спецефичное. Но, как выяснилось, это ни капли не единичный сценарий.
Описывалось тут:
Как опасные настройки МФУ помогли получить привилегии администратора
Кейс повторился “с точностью до муллиметра”. В ходе инвентаризации был обнаружен ряд МФУ небезызвестной марки.
Как всегда – дефолтный пароль. Иду в адресную книгу и вижу:
Создан какой-то адрес. Уже ручки зачесались поскорее посмотреть, что там вбито.
Традиционно – общий каталог, учётка и пароль (вытащить который из веб-интерфейса не представлялось возможным). Смутило (а точнее заинтересовало) то, что учётка оканчивалась на многообещающее “….admin”. Не, ну конечно, может быть заведено что-то типа “scan-admin”, общая учётная запись, прав у которой хватает лишь на то, чтобы записывать в общий каталог на сервере. Это было бы вполне себе нормально, думаю.
Качаем с Интернета Kyocera Net Viewer, коннектимся к нашей МФУшке.
Радость в том, что теперь пароль в оперативной памяти процесса, откуда его можно поддёрнуть уже известными средствами. Уже известные средства у меня под рукой не оказались. Но тут я вспомнил, что достаточно неплохой Hex есть в программке, знакомой моему поколению геймеров – ArtMoney. Качаем, запускаем. Подключаемся к процессу KYOCERA Net Viewer и ищем строковую переменную с именем пользователя.
Нашлось с десяток вхождений. Будем открывать каждое и смотреть, подходит ли оно визуально под XML-структуру.
На втором же вхождении видим примерно следующее:
И как всегда, пароль в открытом виде. Копируем, проверяем права на шаре при помощи CrackMapExec. И …. бум! Видим заветное (Pwn3d!). То есть на шаре имеем права локального администратора (а также не только на этом хосте, но и на многих других). Пока не в домене. Но и этого вполне достаточно. Открываю проводник от имени этой учётной записи и лезу к своему товарищу на рабочий стол. ))
Дальше мы решили раскрутить темку, посмотреть как далеко может зайти изначально непривилегированный пользователь. Ну а пока – некоторые выводы.
Некоторые выводы
- То, что раньше казалось единичным кейсом – вполне может быть широко распространённой практикой.
- Прописывать в принтера или куда-либо ещё админские учётки – плохо. Сделайте отдельного пользователя (нескольких, в группу) и этой группе нарежьте минимально необходимые привилегии.
- Дефолтные логин-пароль в принетре/МФУ – плохо. Все массовые сканеры проверяют их со скоростью пули. А если кажется, что во взломе МФУ нет ничего страшного – то уж как минимум временный вывод из строя печатающего устройства – это может стать настоящей головной болью, для решения которой придётся потопать ножками (по сети уже может не войдёте).
- Подручные инструменты вроде того же ArtMoney вполне сойдут за Hex-редактор )) Just for fun.
- Без сильной необходимости вообще вывешивать административный интерфейс какого-либо оборудования в ту же сеть не надо. Вопрос времени, когда его сломают.
Красава, с удовольствием читаю твои статьи!
где еще можно искать пользовательские пароли в случае отсутствия привилегий в системе или домене?
Был кейс – в файловом хранилище был настроен LDAP-обмен, в хранилку залетел под дефолтным логопассом. А дальше – исходный код страницы раскрыл пароль учётки в plaintext.
Также можно поискать всё слабое либо дефолтное – веб-камеры, регистраторы, телефоны, коммутаторы. Например забытые или необновляемые микротики.
кстати, возможно, там же в настройках, если указать в качестве имени хоста свой ip, можно дернуть NTLM2 хеш при тесте соединения
Верно, у некоторых МФУ есть кнопка теста. К сожалению, не у всех
И к тому же, NTLMv2 достаточно сложен в переборе, не идёт ни в какое сравнение с NTLM. Но однако успешные кейсы тоже имеются)