Материал с первой лекции по пентесту и анализу защищенности, проводимому Информзащитой.
Первая лекция посвящена анализу внешнего периметра организации.
Под катом - текстовая версия презентации, а также устные/письменные заметки, не попавшие в основной материал.
Занятие вёл Ариан @mntsth
Внешнее тестирование на проникновение. Этапы
- Разведка:
- пассивная;
- активная.
- Эксплуатация.
Разведка
Что она нам дает?
- Domains/Subdomains
- IP Address Scope
- Emails
- Staff Info - для таргетированного фишинга
- Files - поиск интересных файлов и директорий на вебе, таких как
.git - Source Code - поискать куски кода, которые написали программисты из этой компании, чтобы разведать используемый стек технологий
- Credentials
- Backend Technologies - быстро посмотреть, что есть старое и дырявое
- DNS Records (MX, NS, SPF/DKIM/DMARC)
- Open Ports/Services
Tools
- Domains/Subdomains
- bgp.he.net, riskiq, GDorks, crt.sh, whois, dnsdumpster.com, Sublist3r, dig ;)
- Emails
- Hunter.io, theHarvester, Pastebin, HH, SimplyEmail, ismtp
- IP Address Scope
- bgp.he.net, riskiq
- Staff Info
- Social Networks, HH, theHarvester + VK + linkedin
- Files
- GDorks, Pastebin, Target Site
- Source Code
- Github, Pastebin, GDorks, Searchcode, Webarchive
- Credentials
- Github, Pastebin, GDorks
- Backend Technologies
- Wappalyzer, Webarchive, dnsdumpster.com
- DNS Records (MX, NS, SPF/DKIM/DMARC)
- dig, nslookup
- Open Ports/Services
- nmap, masscan, shodan, censys.io
- Dirbust
- dirb, dirbuster, dirsearch, gobuster, turbo intruder
Заметки:
К сожалению, по pastebin больше искать нельзя.
theHarvester - делать через vpn или под проксей, иначе есть риск нарваться на капчу гугла или быть забаненным.
hunter.io - тоже в последнее время есть трабблы
Есть возможность провести SMTP enumeration для доставания определенной части валидных мыл, если эта возможность не закрыта на сервере
---
Касаемо дорков:
Поиск .sql
Есть сайт pentest-tools, он "подоркает" за нас. Есть листы типа top 100 dorks, которые тоже помогут с поиском
---
Классная цель – амазоновские бакеты – осуществить Subdomain takeover
---
Стандартные учетки
Mssql – учетка sa
---
waybackurls - для поиска по waybackmachine
Сканирование
Этапы
- Сканирование портов
- Определение сервисов
- Поиск потенциальных уязвимостей
Tools
# сканирование всех TCP- и UDP-портов со скорость 1000 пакетов в секунду
masscan -e eth0 -p1-65535,U:1-65535 <target> --rate=1000
# TCP SYN-сканирование, запускается по умолчанию без флагов
nmap –sS <target>
# UDP-сканирование
nmap –sU <target>
# пропускаем обнаружение хостов, сразу ищем информацию о сервисе/версии
nmap –sV –Pn -A <target>
# ультимативная команда
# Параметры min-rate и min-parallelism творят особую магию, позволяющую быстро и качественно просканировать цели
nmap -sC -sV -Pn -p- --min-rate=400 --min-parallelism=512 -oA result -v –iL <target.txt>
#*--min-rate – мин. кол-во пакетов в секунду
#*--min-parallelism – распараллеливание запросов
Известные сетевые порты
tcp/21 – FTP
tcp/22 – SSH
tcp/23 – Telnet
tcp/25 – SMTP
tcp/53 – DNS
tcp/80 – HTTP
tcp/445 – SMB
udp/53 – DNS
tcp/3306 – MySQL
tcp/5432 – postgresql
tcp/1433 – mssql
tcp/6379 - redis
List of well-known ports on Wiki
SMTP TEST
- EXPN - запрашивает список псевдонимов. Используется для групп рассылки.
- VRFY - проверяет имя пользователя системы
- RCPT TO - определяет получателей сообщения
Заметка:
Помимо почтовых серверов на exchange+outlook, встречаются сервера на
- https://www.intranetno.ru/tags/lotus_domino/
- https://www.hmailserver.com/
Также не стоит забывать про почтовые сервисы как услугу, предоставляемые mail.ru, yandex, google.
AXFR
dig AXFR example.com @127.0.0.1
example.com – зона, которую мы хотим выгрузить
@127.0.0.1 – отвечающий за зону Name Server (NS)
AXFR – запрос на трансфер зоны
Заметка:
AXFR – вид транзакции на репликацию зоны DNS.
С AXFR связана очень древняя и редко встречаемая уязвимость на анонимную репликацию доменной зоны, что позволит выгрузить лист поддоменов организации.
https://habr.com/ru/post/372747/ - инцидент с half-life 2
Разведка
Frameworks
- Spiderfoot
- Recon-ng
- Sn1per
Заметка:
Для вебчика еще тулзы:
github.com/michenriksen/aquatone
github.com/FortyNorthSecurity/EyeWitness
Эксплуатация
На что обратить внимание?
- Старые версии ПО
- Необычные порты
- Анонимный доступ
Заметка:
null-сессии? Интересно.
en.wikipedia.org/wiki/Null_session
Tools
- metasploit
- exsploit-db.com
- searchsploit
- sploitus.com
Дополнительные тулзы, не упомянутые в лекции
Ari, [17.04.21 17:35]
По доп. тулзам/сервисам которые упоминал и не упоминал в лекции:
Дорки - https://pentest-tools.com/information-gathering/google-hacking
Поиска в вебархиве - https://github.com/tomnomnom/waybackurls
Поиск человека по никнейму - https://github.com/snooppr/snoop
Скрины вебчиков - https://github.com/michenriksen/aquatone, https://github.com/FortyNorthSecurity/EyeWitness
Если мы нашли профиль в гитхабе, который потенциально может принадлежать сотруднику Заказчика - gitrob (Будет искать по всем репам пользака потенциально интересное содержимое)
Брут логинок практически всего что не на вебе (ssh,ftp,mssql ...) есть в metasploit
Хорошие словари для брута паролей, перебора директорий, апи - https://github.com/danielmiessler/SecLists