Взлом банка через мобильное приложение

Взлом банка через мобильное приложение

Это небольшой райтап о проведенном нами пентесте по заказу одного из крупных банков. В качестве точки входа использовалось мобильное приложение для бизнеса.

Еще по теме: Способы взлома банковских карт

Пентест (или пентестинг) — процесс проверки компьютерной системы, приложения или сети на наличие уязвимостей, которые могут быть использованы злоумышленниками для несанкционированного доступа.

При пентестах нужно действовать этично и придерживаться установленных правил. Не забывайте, что несанкционированный взлом является незаконным и расценивается, как уголовное преступление. Ни редак­ция spy-soft.net, ни автор не несут ответс­твен­ность за ваши незаконные действия.

Взлом банка через мобильное приложение

Мы обратили внимание, что почтовый домен в мобильном приложении не соответствует домену на сайте. Он указывал на адрес в доменной зоне .com, в то время как сам сайт находился в зоне .ru.

Взлом банка

Главная страница домена из российского сегмента показывает это сообщение:

Взлом приложения банка

Оно указывает, на то, что домен присвоен сайту, созданному с помощью конструктора Tilda.

Мы зарегистрировались в Tilda, купили самый дешевый тариф и привязали данный домен к нашему сайту.

Взлом банковского приложения

Чтобы узнать, где хостится почта , набираем dig somesecret.com MX и видим, что это Яндекс.

Заходим в Яндекс, говорим, что являемся владельцем домена, и подтверждаем право собственности с помощью тега на главной странице.

Взлом мобильного приложения банка

В разделе «Контакты» мы нашли почту предыдущего владельца.

Взломать мобильное приложения банка

Предыдущий владелец хотел восстановить пароль на сервисе intercom.io.

Взломать приложения банка

Так мы смогли найти всех зареганных пользователей.

Взломать банк

И заодно узнать о партнерах.

Пентест банка

Затем мы решили написать простейший парсер сообщений для поиска конфиденциальных данных. Найти что-то среди многочисленных переписок оказалось непросто. В одной из них мы нашли почту, отличную от домена. Да, в очередной раз!

Пентест мобильного приложения

Домен теперь отличается и находится в зоне .io.

Перебором поддоменов мы нашли IP-адреса, ведущие к облачным сервисам.

Ход атаки

При перечислении директорий на одном из найденных серверов мы смогли обнаружить директорию /auth/, в которой отображается форма авторизации для «1С:Предприятия».

Ни­каких кон­фиден­циаль­ных дан­ных оно не рас­кры­вает, но вход дос­тупен для ано­ним­ного поль­зовате­ля.

1С:Пред­при­ятие

Изу­чив при­ложе­ние, мы наш­ли спо­соб выпол­нить про­изволь­ный код на сер­вере, пос­ле чего успешно заг­рузили шелл.

Неп­ривиле­гиро­ван­ный поль­зователь может получить дос­туп к интерфей­су «1С:Пред­при­ятие 8.3» и выпол­нять код 1С на сер­вере от име­ни поль­зовате­ля SQLNODE1\USR1CV8.

Взломать 1С:Пред­при­ятие

Взломать 1С:Пред­при­ятие

За­пущен­ное при­ложе­ние с пра­вами при­виле­гиро­ван­ного поль­зовате­ля дало нам воз­можность извлечь дан­ные дру­гих поль­зовате­лей сис­темы.

Так­же в ходе ата­ки мы рас­кры­ли домен­ную зону buh.local, которую исполь­зовали сот­рудни­ки ком­пании.

Как взломать банк

При помощи тех­ники pass the hash уда­лось получить дос­туп к осталь­ным учет­кам. В том чис­ле откры­лась воз­можность выпол­нять коман­ды на кон­трол­лере домена от име­ни при­виле­гиро­ван­ного поль­зовате­ля. А это поз­волило пол­ностью зах­ватить кон­трол­лер домена и получить дос­туп ко всем учет­ным записям на под­клю­чен­ных к нему машинах.

Как взломать банк через приложение

Нам уда­лось подоб­рать из получен­ного хеша пароль для учет­ной записи buh\SuperOdmen.

Взлом банка

Так­же мы смог­ли под­клю­чить­ся к уда­лен­ному рабоче­му сто­лу поль­зовате­ля buh\SomeBuh для пол­ноцен­ного дос­тупа к базе 1С на хос­те 10.10.0.221.

Взлом банка

Заключение

Нам уда­лось реали­зовать модель угроз внеш­него наруши­теля. Нес­мотря на то что это был пен­тест мобиль­ного при­ложе­ния, мы взло­мали всю ком­панию, получи­ли кри­тичес­ки важ­ные дан­ные и дос­туп к бух­галте­рии.

Благодарим этичного хакера WizaXxX за интересный райтап.

ПОЛЕЗНЫЕ ССЫЛКИ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий