Ройс Дэвис - Искусство тестирования на проникновение в сеть

паролей для конкретного
клиента для Capsulecorp. Разумеется, слово Capsulecorp можно заменить
на CompanyXYZ или название организации, для которой вы проводите
тест на проникновение.

Приложение E Ответы на упражнения

305

Листинг E.1 Список паролей Capsulecorp
~$ vim passwords.txt
1
2 admin
3 root
4 guest
5 sa
6 changeme
7 password #A
8 password1
9 password!
10 password1!
11 password2019
12 password2019!
13 Password
14 Password1
15 Password!
16 Password1!
17 Password2019
18 Password2019!
19 capsulecorp #B
20 capsulecorp1
21 capsulecorp!
22 capsulecorp1!
23 capsulecorp2019
24 capsulecorp2019!
25 Capsulecorp
26 Capsulecorp1
27 Capsulecorp!
28 Capsulecorp1!
29 Capsulecorp2019
30 Capsulecorp2019!
~
NORMAL > ./passwords.txt > < text < 3% < 1:1

Упражнение 4.3. Обнаружение слабых паролей
На результат этого упражнения сильно влияют результаты вашего поиска служб. Если в вашей целевой сети нет служб, слушающих порты, вы
вряд ли обнаружите какие-либо службы со слабыми паролями. Тем не
менее вас наняли для проведения теста на проникновение в сеть, поэтому, вероятно, существует множество сетевых служб, которые можно
атаковать путем подбора пароля. Если вы ориентируетесь на среду Capsulecorp Pentest, вы должны найти следующие слабые пароли:
„„ учетные данные MSSQL sa:Password1 на gohan.capsulecorp.local;
„„ учетные данные Windows Administrator:Password1! на Vegeta.capsulecorp.local;
„„ учетные данные Apache Tomcat admin:admin на trunks.capsulecorp.
local.

Приложение E

306

Ответы на упражнения

Упражнение 5.1. Развертывание вредоносного WAR-файла
Если вам удалось успешно взломать сервер trunks.capsulecorp.local, вы
сможете легко вывести список содержимого диска C:\. Если вы это сделаете, вы должны увидеть что-то похожее на рис. E.1. Если вы откроете
файл flag.txt, вы увидите следующее:
wvyo9zdZskXJhOfqYejWB8ERmgIUHrpC

Рис. E.1

Поиск файла flag.txt на trunks.capsulecorp.local

Упражнение 6.1. Похищение кустов реестра SYSTEM и SAM
Если вы скачали копию кустов реестра SYSTEM и SAM из gohan.capsulecorp.
local, вы можете использовать pwddump.py для извлечения хешей паролей. Вот что вы должны увидеть:
vagrant:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59
7e0c089c0:::
WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b7
c59d7e0c089c0:::
sa:1000:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
sqlagent:1001:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c89c0:::

Упражнение 7.1. Взлом tien.capsulecorp.local
Искомые данные для tien.capsulecorp.local находятся в c:\flag.txt. Вот
содержимое файла:
TMYRDQVmhov0ulOngKa5N8CSPHcGwUpy

Упражнение 8.1. Доступ к вашему первому хосту второго уровня
Искомые данные для raditz.capsulecorp.local находятся в c:\flag.txt.
Вот содержимое файла:
FzqUDLeiQ6Kjdk5wyg2rYcHtaN1slW40

Приложение E Ответы на упражнения

307

Упражнение 10.1. Извлечение паролей из ntds.dit
Среда Capsulecorp Pentest – это проект с открытым исходным кодом,
который со временем может развиваться. В него могут быть добавлены
учетные записи пользователей или даже уязвимые системы, которых не
было во время написания этой книги. Не беспокойтесь, если ваши результаты будут другими – если вы смогли выполнить упражнение и украсть
хеши паролей от goku.capsulecop.local, вам удалось выполнить задание.
Однако на момент написания книги в домене CAPSULECORP.local присутствовали следующие учетные записи пользователей (листинг E.2).
Листинг E.2 Хеши паролей Active Directory, извлеченные
с по­мощью Impacket
[*] Target system bootKey: 0x1600a561bd91191cf108386e25a27301
[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
[*] Searching for pekList, be patient
[*] PEK # 0 found and decrypted: 56c9732d58cd4c02a016f0854b6926f5
[*] Reading and decrypting hashes from ntds.dit
Administrator:500:aad3b435b51404eeaad3b435b51404ee:e02bc503339d51f71d913c2
5d35b50b:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
vagrant:1000:aad3b435b51404eeaad3b435b51404ee:e02bc503339d51f71d913c245d3550b:::
GOKU$:1001:aad3b435b51404eeaad3b435b51404ee:3822c65b7a566a2d2d1cc4a4840a0f36:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:62afb1d9d53b6800af62285ff3fea16f:::
goku:1104:aad3b435b51404eeaad3b435b51404ee:9c385fb91b5ca412bf16664f50a0d60f:::
TRUNKS$:1105:aad3b435b51404eeaad3b435b51404ee:6f454a711373878a0f9b2c114d7f22a:::
GOHAN$:1106:aad3b435b51404eeaad3b435b51404ee:59e14ece9326a3690973a12ed3125d01:::
RADITZ$:1107:aad3b435b51404eeaad3b435b51404ee:b64af31f360e1bfa0f2121b2f6b3f66:::
vegeta:1108:aad3b435b51404eeaad3b435b51404ee:57a39807d92143c18c6d9a5247b37cf3:::
gohan:1109:aad3b435b51404eeaad3b435b51404ee:38a5f4e30833ac1521ea821f57b916b6:::
trunks:1110:aad3b435b51404eeaad3b435b51404ee:b829832187b99bf8a85cb0cd6e7c8eb1:::
raditz:1111:aad3b435b51404eeaad3b435b51404ee:40455b77ed1ca8908e0a87a9a5286b22:::
tien:1112:aad3b435b51404eeaad3b435b51404ee:f1dacc3f679f29e42d160563f9b8408b:::

Упражнение 11.1. Выполнение очистки после проникновения
Если вы следовали рекомендациям в книге, используя среду Capsulecorp
Pentest для проведения своего пентеста, то все необходимые элементы
очистки перечислены в главе 11. Кроме того, я неоднократно напоминал
вам делать записи обо всех действиях, последствия которых придется
удалять. Если вы тестировали свою собственную сетевую среду, вам придется --">