Информзащита. Пентест. Занятие 1 - Внешний периметр
@ Rakovsky Stanislav | Monday, Apr 19, 2021 | 4 minutes read | Update at Monday, Apr 19, 2021

Материал с первой лекции по пентесту и анализу защищенности, проводимому Информзащитой.

Первая лекция посвящена анализу внешнего периметра организации.

Презентация

Под катом - текстовая версия презентации, а также устные/письменные заметки, не попавшие в основной материал.


Занятие вёл Ариан @mntsth

Внешнее тестирование на проникновение. Этапы

  1. Разведка:
    • пассивная;
    • активная.
  2. Эксплуатация.

Разведка

Что она нам дает?

  1. Domains/Subdomains
  2. IP Address Scope
  3. Emails
  4. Staff Info - для таргетированного фишинга
  5. Files - поиск интересных файлов и директорий на вебе, таких как .git
  6. Source Code - поискать куски кода, которые написали программисты из этой компании, чтобы разведать используемый стек технологий
  7. Credentials
  8. Backend Technologies - быстро посмотреть, что есть старое и дырявое
  9. DNS Records (MX, NS, SPF/DKIM/DMARC)
  10. Open Ports/Services

Tools

  • Domains/Subdomains
    • bgp.he.net, riskiq, GDorks, crt.sh, whois, dnsdumpster.com, Sublist3r, dig ;)
  • Emails
    • Hunter.io, theHarvester, Pastebin, HH, SimplyEmail, ismtp
  • IP Address Scope
    • bgp.he.net, riskiq
  • Staff Info
    • Social Networks, HH, theHarvester + VK + linkedin
  • Files
    • GDorks, Pastebin, Target Site
  • Source Code
    • Github, Pastebin, GDorks, Searchcode, Webarchive
  • Credentials
    • Github, Pastebin, GDorks
  • Backend Technologies
    • Wappalyzer, Webarchive, dnsdumpster.com
  • DNS Records (MX, NS, SPF/DKIM/DMARC)
    • dig, nslookup
  • Open Ports/Services
    • nmap, masscan, shodan, censys.io
  • Dirbust
    • dirb, dirbuster, dirsearch, gobuster, turbo intruder

Заметки:

К сожалению, по pastebin больше искать нельзя.

theHarvester - делать через vpn или под проксей, иначе есть риск нарваться на капчу гугла или быть забаненным.

hunter.io - тоже в последнее время есть трабблы

Есть возможность провести SMTP enumeration для доставания определенной части валидных мыл, если эта возможность не закрыта на сервере

---

Касаемо дорков:
Поиск .sql
Есть сайт pentest-tools, он "подоркает" за нас. Есть листы типа top 100 dorks, которые тоже помогут с поиском

---

Классная цель – амазоновские бакеты – осуществить Subdomain takeover

---

Стандартные учетки
Mssql – учетка sa

---

waybackurls - для поиска по waybackmachine

Сканирование

Этапы

  1. Сканирование портов
  2. Определение сервисов
  3. Поиск потенциальных уязвимостей

Tools

# сканирование всех TCP- и UDP-портов со скорость 1000 пакетов в секунду
masscan -e eth0 -p1-65535,U:1-65535 <target> --rate=1000 

# TCP SYN-сканирование, запускается по умолчанию без флагов
nmap –sS <target>

# UDP-сканирование
nmap –sU <target>

# пропускаем обнаружение хостов, сразу ищем информацию о сервисе/версии
nmap –sV –Pn -A <target>

# ультимативная команда
# Параметры min-rate и min-parallelism творят особую магию, позволяющую быстро и качественно просканировать цели
nmap -sC -sV -Pn -p- --min-rate=400 --min-parallelism=512 -oA result -v –iL <target.txt>
#*--min-rate – мин. кол-во пакетов в секунду
#*--min-parallelism – распараллеливание запросов

Известные сетевые порты

tcp/21 – FTP
tcp/22 – SSH
tcp/23 – Telnet
tcp/25 – SMTP
tcp/53 – DNS
tcp/80 – HTTP
tcp/445 – SMB
udp/53 – DNS
tcp/3306 – MySQL
tcp/5432 – postgresql
tcp/1433 – mssql
tcp/6379 - redis

List of well-known ports on Wiki

SMTP TEST

  • EXPN - запрашивает список псевдонимов. Используется для групп рассылки.
  • VRFY - проверяет имя пользователя системы
  • RCPT TO - определяет получателей сообщения

Заметка:

Помимо почтовых серверов на exchange+outlook, встречаются сервера на
- https://www.intranetno.ru/tags/lotus_domino/
- https://www.hmailserver.com/

Также не стоит забывать про почтовые сервисы как услугу, предоставляемые mail.ru, yandex, google.

AXFR

dig AXFR example.com @127.0.0.1
example.com – зона, которую мы хотим выгрузить
@127.0.0.1 – отвечающий за зону Name Server (NS)
AXFR – запрос на трансфер зоны

Заметка:

AXFR – вид транзакции на репликацию зоны DNS.

С AXFR связана очень древняя и редко встречаемая уязвимость на анонимную репликацию доменной зоны, что позволит выгрузить лист поддоменов организации.

https://habr.com/ru/post/372747/ - инцидент с half-life 2

Разведка

Frameworks

  • Spiderfoot
  • Recon-ng
  • Sn1per

Заметка:

Для вебчика еще тулзы:

github.com/michenriksen/aquatone

github.com/FortyNorthSecurity/EyeWitness

Эксплуатация

На что обратить внимание?

  • Старые версии ПО
  • Необычные порты
  • Анонимный доступ

Заметка:

null-сессии? Интересно.

en.wikipedia.org/wiki/Null_session

Tools

  • metasploit
  • exsploit-db.com
  • searchsploit
  • sploitus.com

Дополнительные тулзы, не упомянутые в лекции

Ari, [17.04.21 17:35]
По доп. тулзам/сервисам которые упоминал и не упоминал в лекции:
Дорки - https://pentest-tools.com/information-gathering/google-hacking
Поиска в вебархиве - https://github.com/tomnomnom/waybackurls 
Поиск человека по никнейму - https://github.com/snooppr/snoop
Скрины вебчиков - https://github.com/michenriksen/aquatone, https://github.com/FortyNorthSecurity/EyeWitness
Если мы нашли профиль в гитхабе, который потенциально может принадлежать сотруднику Заказчика - gitrob (Будет искать по всем репам пользака потенциально интересное содержимое)
Брут логинок практически всего что не на вебе (ssh,ftp,mssql ...) есть в metasploit
Хорошие словари для брута паролей, перебора директорий, апи - https://github.com/danielmiessler/SecLists

Cats!

Under construction

Wow! Flipable!

Hello from another side of the Moon!

Looking for a flag? Okay, take this:
LFXXKIDBOJSSA43XMVSXIIC6LYQCAIA=

About me

Under construction. You can try to contact me and fill this field… haha… ha…