Содержание
Привет всем, с вами снова Litl-Admin! Сегодня я расскажу довольно интересную на мой взгляд историю, которая произошла не так давно. Помогали мы как-то раз с друзьями проводить аудит безопасности в сфере IT одной небольшой компании. И попался вот такой неплохой кейс, который позволил “гостю” стать “администратором домена”.
К слову сказать, подобные ситуации часто возникают именно из-за того, что админы где-то поленились настроить, где-то не смогли. Или делали в авральном режиме “срочно надо сделать хоть как-то, а потом настроим нормально”. Особенно часто это возникает, если в компании несколько сисадминов разного уровня – старшим уже на все пофиг, а младшие просто не знают некоторых нюансов. Так или иначе, всё больше контор переходят на IT-аутсорсинг и не держат в штате множество разноуровневых компьютерщиков. Но вернёмся к ситуации.
Да, конечно, сценарий весьма уникальный, но вот подход. Надеюсь, данный кейс поможет вам взглянуть на свою сеть критически и, возможно, немного улучшить её безопасность. Для того, чтобы описать происходящее более-менее линейно, я немного отступлю от реальной хронологии событий и опущу некоторые (не существенные для данного кейса) детали. Откровенно говоря, данный кейс обнаружил даже не я, а мой товарищ, который подсказал направление куда копать и мне удалось с его подсказкой и своими инструментами получить кое-какой интересный результат. Но обо всём по-порядку…
Этап 1. Разведка местности
На этапе сканирования сети было обнаружено сетевое многофункциональное устройство фирмы KYOCERA
Ну обычная, казалось бы, ситуация. Идём на сайт (их много) в поисках дефолтных паролей. Я нашёл вот тут: https://default-password.info/kyocera/. Находим своё устройство и получаем дефолтные Admin:Admin.
Этап 2. Изучение настроек
В ходе второго этапа обнаружились прелюбопытнейшие настройки:
Я зацензурил кое-какие места на форме, в общем там был адрес узла, имя сетевого ресурса, доменный логин и звёздочки пароля! Причём именно звёздочки, в HTML-коде страницы они тоже хранились звёздочками. Очевидно, данное устройство скидывает на общий сетевой ресурс результаты своей работы. А чтобы были привилегии на запись, здесь сохранена доменная учётка. Значит, завладев этой учёткой у нас появится доступ на запись в данный каталог!
Только вот как получить пароль от этой учётки?
Этап 3. Получение сохранённой учётной записи
Как оказалось, для удобства администрирования данной оргтехники по сети разработчики создали специальный инструмент под названием NetViewer. При помощи этой программы можно подключаться к различным девайсам Kyocera и производить их удобную настройку. Честно говоря, функционал почти полностью дублирует веб-интерфейс, насколько я успел заметить.
Даже блин пароль под теми же самыми звёздочками. Но…это уже не веб-страница, а приложение! А приложение где-то должно хранить свои данные. Где же? Правильно! В оперативной памяти.
Запускаем наш любимый (я надеюсь) Hex-редактор WinHEX и открываем Primary Memory данного процесса. Затем выполним поиск по логину (он у нас есть в открытом виде) и находим следующий участок дампа:
Разумеется, я всё зацензурил, но там в явном виде был записан и логин и пароль в виде некой XML-подобной структуры. Таким образом был получен пароль.
Спустя несколько запросов к Active Directory удалось узнать, что под данного пользователя та сетевая шара особо не была настроена, поскольку он мог записывать в любое место….обладая правами доменного администратора.
Выводы
- Не стоит без острой необходимости оставлять учётные записи каких-либо пользователей в настройках оборудования, так как есть вероятность, что злоумышленники смогут их получить не прилагая особых усилий.
- Пароли по умолчанию – зло. Должны меняться в первую очередь!
- Звёздочки – не панацея, особенно если это не веб-интерфейс, а приложение.
Была ли эта статья интересной или полезной? Отпиши в комментариях!
Comments: