|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|||||||
|
- |
|
|
|
|
|
d |
|
|
|
|
- |
|
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
F |
|
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
D |
|
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
NOW! |
|
o |
|
P |
|
|
|
|
|
|
NOW! |
o |
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
Глава 4.Продвинутые способы атаки с использованием метода полного... |
|
|
BUY |
|
|
|||||||||||||
|
|
|
|
to |
BUY 96 |
|
|
to |
|
|
|
|
|
|
||||||||||||
w Click |
|
|
|
|
|
|
|
m |
|
w Click |
|
|
|
|
|
|
m |
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
|
|
. |
|
|
|
|
|
|
|
.c |
|
|||||
|
|
p |
|
|
|
|
g |
|
|
Метаданные |
|
|
p |
|
|
|
|
|
g |
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
df |
|
|
n |
e |
|
|||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
Также можно собрать действительные имена пользователей, проанализировав наш список пользователей, просмотрев то, что доступно в интернете. Публично проиндексированные документы являются хорошим источником идентификаторов пользователей, поскольку они часто содержат ценные метаданные либо в тексте, либо где-то в заголовке файла. Когда сотрудники компании создают документы Microsoft Office и Adobe PDF, среди множества других типов программного обеспечения для создания документов по умолчанию они сохраняют имя текущего пользователя, вошедшего в систему, в качестве автора файла в метаданных. Эти документы не должны быть совершенно секретными – это могут быть листовки и маркетинговые материалы. Это могут быть общедоступные данные, предназначенные для совместного использования, и мы можем использовать автоматически заполненные метаданные для осуществления наших атак с использованием распыления паролей.
FOCA (Fingerprinting Organizations with Collected Archives) – прекрасная утилита от компании ElevenPaths, которая анализирует результаты поисковых систем на предмет наличия проиндексированных документов, таких как файлы PDF, Excel или Word. Эти файлы, как правило, содержат ценную информацию в своих метаданных.Информация об авторе обычно находится в полях AD и ID.
Необязательноэтобудетимяпользователядомена(можетбытьадресэлект ронной почты),но данная информация важна для нас,когда мы создаем целевой список учетных записей.
С помощью FOCA можно быстро запустить поиск всех общедоступных документов для нашей цели и в один клик проанализировать их метадан - ные.
Вы заметите, что здесь запрос аналогичен тому, что мы использовали в LinkedIn, потому что за кулисами FOCA будет применять взлом поисковой системы и работатьнетолько с Google,но и с Bing идругими информационными каталогами.
В приведенном ниже примере мы ищем общедоступные документы с сайта vancouver.ca и анализируем их метаданные. FOCA скачает каждый PDF-файл, проанализирует заголовок и сохранит всех найденных пользователей в левом столбце в разделе Metadata Summary (Сводка метаданных).
Этиценныеданныеможноэкспортироватьвфайл,которыйбудетиспользоваться в ходе атаки с распылением пароля.Эти документы нетолько дают нам действительные учетные записи, но и подсказывают, как выглядит структура имен пользователей компании.Можно объединить эти знания с результатами скрапинга LinkedIn и создать подходящие списки целевых учетных записей, сводя к минимуму число ошибок аутентификации.
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
E |
|
|
||||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|||||
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
to |
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
-xcha |
n |
e |
|
||||
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
E |
|
|
|||
|
|
X |
|
|
|
|
|||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
||||
Распыление подбора пароля 97 BUY |
|
|
|||||||
|
|
|
|
|
|||||
w Click |
to |
|
|
|
|
m |
|||
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
g |
|
|
|
|
|
|
df |
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис.4.3. Публично проиндексированные документы в FOCA
FOCA можно загрузить со страницы https://www.elevenpaths. com/labstools/foca/index.html или на GitHub: https://github. com/ElevenPaths/FOCA.
Кассетная бомба
Для того чтобы провести атаку методом распыления пароля, необходим простой способ передать на выбранную систему запросы по списку пользователей, а также небольшой, но конкретный список паролей. Нам также нужно иметь возможность ограничивать частоту попыток,если это необходимо,чтобы наши атаки не обнаружили.
Умодуля Intruder из Burp Suite естьнесколько вариантовдоставки полезной нагрузки,втомчислетипатакиподназванием«кассетнаябомба».Данныйтип атаки позволяет указать несколько позиций в нашем HTTP-запросе, куда можем вставить свои полезные нагрузки. Нарушитель будет отправлять запрос для каждой возможной комбинации,что идеально подходитдля атак методом распыления пароля.
Список паролей будет гораздо более сфокусированным, и, вместо того чтобы использовать огромный словарь rockyou.txt для каждого из имен пользователей, мы составим более короткий список наиболее часто применяемых значений.
Когда пользователи забывают свои пароли, они обращаются в службу технической поддержки и запрашивают сброс пароля. Обычно вместо сложной процедурысбросаработникислужбыподдержкименяютпарольначто-нибудь
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
|
NOW! |
o |
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|||||||||
|
|
|
|
to |
BUY 98 Глава 4.Продвинутые способы атаки с использованием метода полного... |
|
to |
|
|
|
|
|
|
|||||||||||
w Click |
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
m |
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
простое, чтобы его можно было продиктовать по телефону и сотрудник мог |
|
|
|
e |
|
||||||||||||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
|
||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
быстро войти в систему и снова приступить к работе.Распространенная схема |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
паролей выглядит так: [Текущее время года] [Текущий |
год]. Пароль типа |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
Fall2017 легко сообщить по телефону, и он будет соответствовать большин- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
ству политик сложности паролей. Иногда туда же можно добавить специаль- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
ный символ: Fall@2017 или Fall2017!. |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
На самом деле здесь нет риска, если пользователь входит в систему и сразу |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
же сбрасывает пароль. В AD есть опция технической поддержки, которая тре- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
бует от пользователя сменить пароль после первого успешного входа в систе- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
му. К сожалению, устаревшие системы и сложные схемы аутентификации не |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
всегда поддерживают сброс пароля при первом входе в систему, что вынуж- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
дает организации требовать от пользователей,чтобы они делали это вручную. |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
Большинство пользователей сразу же сбрасывает пароль, однако некоторые |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
этого не делают, и обычно требуется всего один пользователь, который может |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
совершить ошибку. |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
Пароли, которые чаще всего используются, выглядяттак: |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Fall2017
Fall17
Fall2017!
Fall@2017
Summer2017
Summer17
Summer2017!
Summer@2017
Spring2017
Spring17
Spring2017!
Spring@2017
Мытакжеможемпроявитьсмекалкуприсозданииспискапаролей.Еслинам что-то известно о требованиях к паролям приложения, мы можем исключить пароли, которые требованиям не соответствуют. Возможно, штаб-квартира компании,накоторуюнаправленаатака,находитсяврегионе,гдесловоautumn встречаетсячаще,чемсловоfall,ивэтомслучаемывносимсоответствующие коррективы.
Важно также рассмотреть возможность блокировки учетной записи. В ходе атаки с помощью модуля Intruder будет сгенерировано столько запросов на аутентификацию для каждого пользователя, сколько паролей в списке, а это означает,что мы можем вызвать блокировку учетных записей.Intruder проверит первый пароль в списке для каждого имени пользователя, пока не дойдет до конца,и начнетснова.Затем он проверитвторой пароль,третий ит.д.,пока списокпаролейнезакончится.Еслимынеограничимколичествозапросовдля
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
E |
|
|
|
|||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
Распыление подбора пароля 99 BUY |
|
|
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
w Click |
to |
|
|
|
|
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
|||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
каждого имени пользователя,то рискуем нарваться на блокировку аккаунта и |
|
|
e |
|
|||||||||||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
|
|||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
оповещение средств защиты.
Как только у нас появится список паролей и имен пользователей, можем приступить к атаке, используя модуль Intruder. В нашем случае будем атаковатьприложение,доступное на target.org.local,через порт80,как показано на рисунке.
Рис.4.4. Указание цели атаки в Intruder
Отправим POST-запрос к странице /login. Можно указать тело запроса и расположение полезной нагрузки на вкладке Positions. Выделив фиктивные значения для username и password, можно нажать кнопку Add (Добавить) справа, чтобы обозначить расположение полезной нагрузки, как показано на скриншоте.
Рис.4.5. Определение позиций полезной нагрузки
Мы также выбрали тип атаки Cluster bomb, как упоминалось ранее. Затем нужно загрузить свои полезные наработки, а точнее, списки имен
пользователейипаролей,скомпилированныеранее.Набор1(Payloadset)–это список с именами пользователей, как показано на скриншоте.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
||||
w Click |
to |
BUY 100 |
||||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
X |
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
||
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
|
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
Глава 4.Продвинутые способы атаки с использованием метода полного... |
BUY |
|
|
||||||||
|
|
|
|
|
|||||||
|
w Click |
to |
|
|
|
|
|
m |
|||
|
|
|
|
|
|
|
|||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
|
-x cha |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
Рис.4.6. Загрузка имен пользователей в набор 1
Второй набор – это пароли, которые будут проверяться для каждого имени пользователя.Отметим:этонетоместо,гдемыбудемзагружатьфайлrockyou. txt. При атаке методом распыления пароля мы нацеливаемся на большой список известных идентификаторов пользователей с небольшим количеством очень распространенных паролей. Нам нужно избежать блокировки и запуска оповещений.
На рисунке показан пример набора 2.
Рис.4.7. Загрузка паролей в набор 2