Автор: @closed_character
Наш Telegram канал: 🔗REDTalk
Любая система защищена настолько, насколько защищено её самое слабое звено. И часто это звено — человек. Мы все можем ошибаться: неправильно настроить доступы, забыть сменить пароль, оставить сервисы "на потом". И вот тут, в просветах этой цепи, появляемся мы — те, кто проверяет, насколько сильно всё это ослабило защиту. Итак, сегодня мы погружаемся в очередной внутренний аудит. Казалось бы, внутри компании всё должно быть надёжно, ведь кто лучше осознаёт важность внутренней безопасности, чем её сотрудники? Но практика показывает обратное: проблемы нередко кроются внутри. Что ж, время заняться работой. Запасайтесь попкорном, потому что сегодня мы вам покажем, как "ломают" инфраструктуру.
После стандартных процедур (подписали документы, получили доступы) начинается рутинная проверка инфраструктуры. В таких ситуациях обычно идём широким фронтом: проверяем сервисы, смотрим открытые порты, и вот — на 5000-м порту контроллера домена находим панель системы аудита и управления информационными активами.
Сразу возникает мысль: "А не забыли ли они про пароли?" Пробуем стандартные учётные данные — admin:admin.
Не сработало. Что ж, здесь админ явно оказался не таким простым, и, видимо, кто-то постарался хотя бы сменить стандартные пароли. Но не стоит расстраиваться — у нас есть проверенный способ на все случаи жизни: брутфорс. Спустя некоторое время нам удалось получить доступ.
И вот тут начинается самое интересное. Особо внимательный читатель уже заметил такой пункт, как “Добавить командную строку”.
Данный функционал направлен в первую очередь на расширение стандартных возможностей. Например, сбор информации с удаленной машины, где нет возможности установить агент. Однако, если агенты настроили неправильно, злоумышленники могут использовать их для повышения привилегий и распространения своего влияния в домене. Все потому, что агент по умолчанию запускается с привилегиями SYSTEM.