Это небольшой райтап о проведенном нами пентесте по заказу одного из крупных банков. В качестве точки входа использовалось мобильное приложение для бизнеса.
Еще по теме: Способы взлома банковских карт
Пентест (или пентестинг) — процесс проверки компьютерной системы, приложения или сети на наличие уязвимостей, которые могут быть использованы злоумышленниками для несанкционированного доступа.
При пентестах нужно действовать этично и придерживаться установленных правил. Не забывайте, что несанкционированный взлом является незаконным и расценивается, как уголовное преступление. Ни редакция spy-soft.net, ни автор не несут ответственность за ваши незаконные действия.
Взлом банка через мобильное приложение
Мы обратили внимание, что почтовый домен в мобильном приложении не соответствует домену на сайте. Он указывал на адрес в доменной зоне .com, в то время как сам сайт находился в зоне .ru.
Главная страница домена из российского сегмента показывает это сообщение:
Оно указывает, на то, что домен присвоен сайту, созданному с помощью конструктора Tilda.
Мы зарегистрировались в Tilda, купили самый дешевый тариф и привязали данный домен к нашему сайту.
Чтобы узнать, где хостится почта , набираем dig somesecret.com MX и видим, что это Яндекс.
1 |
somesecret.com. 86400 IN MX 10 mx.yandex.net |
Заходим в Яндекс, говорим, что являемся владельцем домена, и подтверждаем право собственности с помощью тега на главной странице.
В разделе «Контакты» мы нашли почту предыдущего владельца.
Предыдущий владелец хотел восстановить пароль на сервисе intercom.io.
Так мы смогли найти всех зареганных пользователей.
И заодно узнать о партнерах.
Затем мы решили написать простейший парсер сообщений для поиска конфиденциальных данных. Найти что-то среди многочисленных переписок оказалось непросто. В одной из них мы нашли почту, отличную от домена. Да, в очередной раз!
Домен теперь отличается и находится в зоне .io.
Перебором поддоменов мы нашли IP-адреса, ведущие к облачным сервисам.
Ход атаки
При перечислении директорий на одном из найденных серверов мы смогли обнаружить директорию /auth/, в которой отображается форма авторизации для «1С:Предприятия».
Никаких конфиденциальных данных оно не раскрывает, но вход доступен для анонимного пользователя.
Изучив приложение, мы нашли способ выполнить произвольный код на сервере, после чего успешно загрузили шелл.
Непривилегированный пользователь может получить доступ к интерфейсу «1С:Предприятие 8.3» и выполнять код 1С на сервере от имени пользователя SQLNODE1\USR1CV8.
Запущенное приложение с правами привилегированного пользователя дало нам возможность извлечь данные других пользователей системы.
Также в ходе атаки мы раскрыли доменную зону buh.local, которую использовали сотрудники компании.
При помощи техники pass the hash удалось получить доступ к остальным учеткам. В том числе открылась возможность выполнять команды на контроллере домена от имени привилегированного пользователя. А это позволило полностью захватить контроллер домена и получить доступ ко всем учетным записям на подключенных к нему машинах.
Нам удалось подобрать из полученного хеша пароль для учетной записи buh\SuperOdmen.
Также мы смогли подключиться к удаленному рабочему столу пользователя buh\SomeBuh для полноценного доступа к базе 1С на хосте 10.10.0.221.
Заключение
Нам удалось реализовать модель угроз внешнего нарушителя. Несмотря на то что это был пентест мобильного приложения, мы взломали всю компанию, получили критически важные данные и доступ к бухгалтерии.
Благодарим этичного хакера WizaXxX за интересный райтап.
ПОЛЕЗНЫЕ ССЫЛКИ: