量子哈希
在本文中,我们将探讨如何绕过防火墙系统并获取持卡人数据环境(CDE)的访问权限,最终目标是提取目标用户的信用卡数据。在存储、传输或处理信用卡数据的网络中,信用卡数据安全至关重要。根据PCI数据安全标准(PCI-DSS),持卡人数据可以在内部网络中传输和发送,前提是网络系统已实施了网络分割,而这种网络范围的定义通常通过防火墙来实现。
为了保护客户的机密数据,我们需要对网络的实现细节进行修改。假设公司拥有一个非常大型的网络系统,所有地址都在10.0.0.0/8范围内。持卡人数据需要单独划分至192.168.0.0/16范围,并通过防火墙进行隔离。
CDE通常由呼叫中心和操作人员组成。在这次测试中,我们直接连接至公司的内部办公网络(10.0.0.0/8地址范围),利用ping命令和端口扫描功能来扫描CDE环境。然而,这种方式的效果并不理想,除非绕过防火墙规则或防火墙使用了弱密码。因此,我们的第一个目标是获取域管理员权限来控制活动目录。
在我们的场景中,我们选择使用kerberoast来控制域。入侵活动目录的第一步通常需要获取任意用户账号的访问权,只要我们能够通过域控制器的认证就可以了。在Windows中,所有账号都能通过域控制器的认证,即使它们没有权限来执行实际操作。因此,我们可以使用enum4linux等工具来枚举用户列表并获取域中每个用户的用户名。
拿到用户列表后,我们可以对其进行解析处理。通过筛选和处理,我们可以得到我们需要的用户账号。接下来,我们可以使用CrackMapExec等工具来猜测用户密码。如果我们想要继续猜解,可以指定“–continue-on-success”参数。
获取到用户账号后,我们可以查询活动目录并获取服务账号列表。服务账号是为特定服务运行而创建的用户账号,例如Microsoft SQL Server等。活动目录的Kerberos认证系统可以提供访问权限,并提供一个“服务令牌”来运行用户进行认证。通过请求Kerberos服务账号列表,我们可以得到每个账号的“服务令牌”。这个服务令牌使用服务账号的密码进行加密。因此,如果我们破解密码,就可以使用这个账号,而这种账号通常具有高权限。
通过破解密码,我们可以获得活动账号,然后再次使用CrackMapExec来进一步控制域。现在,虽然我们不能直接访问目标设备,但可以通过活动目录域与目标设备进行交互。我们的目标是通过呼叫中心控制CDE中的其他计算机。为此,我们需要深入了解组策略对象(GPO)。
GPO允许将各种设置应用于用户和计算机,并以不同范围级别控制域中的计算机。我们可以利用GPO中的“计划任务”功能来运行我们的恶意脚本。通过生成payload和使用远程桌面协议(RDP)登录到域控制器,我们可以在活动目录中找到CDE,并将恶意脚本放入文件夹并进行共享。然后,我们可以创建一个新的GPO策略,在编辑时点击“计划任务”,并创建一个指向共享恶意脚本的任务。
最终,我们成功获取了支付卡数据,渗透工作全部完成。
拿到用户列表之后,我们可以对其进行解析处理。通过筛选和处理,我们可以得到我们需要的用户账号。
这个网络非常庞大,有超过25000个活动用户,但我们使用grep进行了简单的用户筛选,足以演示我们的攻击操作。
现在,拿到包含用户列表的文本文件后,我们可以使用CrackMapExec等工具来猜测用户密码。这里我们猜测目标账号的密码是否为“Password1”。
如果我们想要继续猜解,需要指定“–continue-on-success”参数。
拿到这个用户账号之后,我们可以查询活动目录并获取服务账号列表。服务账号是针对特定服务运行的用户账号,例如Microsoft SQL Server等。活动目录的Kerberos认证系统可以提供访问权限,并提供一个“服务令牌”来运行用户进行认证。
通过从域控制器请求Kerberos服务账号列表,我们还可以得到每一个账号的“服务令牌”。这个服务令牌使用了服务账号的密码进行加密。所以,如果我们破解密码,我们就可以使用这个账号,而这种账号一般都是高权限账号。
我们可以看到,其中一个账号是域管理组成员,所以我们可以直接破解它。
这是一个活动账号,我们可以再次使用CrackMapExec:
如果我们想要继续猜解,需要指定“–continue-on-success”参数。
等待片刻后,我们成功获取了明文密码。
