ANTYNET.PL – Administracja Sieci

windows 10 otoczenie sieciowe smb słaby transfer wolno

Skuteczne rozwiązanie:

PowerShell

Set-SmbClientConfiguration -EnableBandwidthThrottling 0 -EnableLargeMtu 1
Set-SmbServerConfiguration -EnableLeasing $false
NET STOP SERVER
NET START SERVER

http://td.fastio.me/

Pomijając kwestie bezpieczeństwa danych, fajna sprawa do dzielenia się dużymi plikami.

http://gmvault.org/download.html

Korzystanie z Let’s Encrypt na potrzeby WWW są automatyczne i proste.

Jeśli dla https mamy już certyfikaty jak wykorzystać ich moc dla serwera pocztowego?

Otóż jak zwykle u mnie prosto i szybko:

postfix:

smtpd_tls_cert_file = /etc/letsencrypt/live/domena/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/domena/privkey.pem
dovecot:

ssl_cert = </etc/letsencrypt/live/szpital.zabrze.pl/fullchain.pem
ssl_key = </etc/letsencrypt/live/szpital.zabrze.pl/privkey.pem

Koniec.

Proste i działa 😉

Niebezpieczeństwo przychodzące do firm i instytucji poprzez pocztę elektroniczną jest ogromne.

Klikanie na linki, otwieranie plików zip z niby faktura czy CV to ogromne zagrożenie.

Poniżej opiszę jak przy pomocy clamav wycinać wiadomości, z załącznikami zip zawierającymi skompresowane, potencjalnie niebezpieczne zawartości.

Funkcjonalność tą starałem się rozwiązać poprzez postfix, amavis itp. jednakże bezskutecznie. Dopiero sugestia na grupie https://www.facebook.com/groups/sysopspolska/ dała światełko w tunelu.

Przechodząc do rzeczy, tworzy plik w katalogu lib clama /var/lib/clamav o zawartości:

Archived_EXE:*:*:.*\.exe:*:*:*:*:*:*

Archived_SCR:*:*:.*\.scr:*:*:*:*:*:*

Archived_PIF:*:*:.*\.pif:*:*:*:*:*:*

Archived_COM:*:*:.*\.com:*:*:*:*:*:*

Archived_VB:*:*:.*\.vb:*:*:*:*:*:*

Archived_VBS:*:*:.*\.vbs:*:*:*:*:*:*

Archived_VBE:*:*:.*\.vbe:*:*:*:*:*:*

Archived_JS:*:*:.*\.js:*:*:*:*:*:*

Archived_JSE:*:*:.*\.jse:*:*:*:*:*:*

Archived_WS:*:*:.*\.ws:*:*:*:*:*:*

Archived_WSF:*:*:.*\.wsf:*:*:*:*:*:*

Archived_WSC:*:*:.*\.wsc:*:*:*:*:*:*

Archived_WSH:*:*:.*\.wsh:*:*:*:*:*:*

Zapisujemy jako skasowac.cdb i restartujemy clama.

To tyle.

Bardzo dobre narzędzie. Oczywiście kolejne narzędzie pod linux!

Instalacja pod adresem: https://github.com/threat9/routersploit

Po uruchomieniu:

[email protected]:/home/amon/routersploit# ./rsf.py
______ _ _____ _ _ _
| ___ \ | | / ___| | | (_) |
| |_/ /___ _ _| |_ ___ _ __\ `–. _ __ | | ___ _| |_
| // _ \| | | | __/ _ \ ‚__|`–. \ ‚_ \| |/ _ \| | __|
| |\ \ (_) | |_| | || __/ | /\__/ / |_) | | (_) | | |_
\_| \_\___/ \__,_|\__\___|_| \____/| .__/|_|\___/|_|\__|
| |
Exploitation Framework for |_| by Threat9
Embedded Devices

Codename : I Knew You Were Trouble
Version : 3.4.1
Homepage : https://www.threat9.com – @threatnine
Join Slack : https://www.threat9.com/slack

Join Threat9 Beta Program – https://www.threat9.com

Exploits: 131 Scanners: 4 Creds: 171 Generic: 4 Payloads: 32 Encoders: 6

No to testujemy:

rsf > use scanners/autopwn

rsf (AutoPwn) > set target 192.168.50.1
[+] target => 192.168.50.1
rsf (AutoPwn) > run
[*] Running module scanners/autopwn…

efekt:

Zobaczysz sam … dane logowania na niezaktualizowane routery ;(

Ip podane w przykładzie to moja maszyna domowa otrzymana od operatora…. skan pokazał dane logowania 😀

Po sieci panoszą się już robaki, które wykorzystując tą podatność budują botnety złożone z serwerów Windows.

Oczywiście robaki te szukają maszyn z wystawionym RDP na zewnątrz, wbrew logice jest takich maszyn bardzo dużo.

A co jeśli ktoś uzyska dostęp do naszej np. drukarki? Opisywałem jak z drukarki dostać się do sieci wewnętrznej naszej instytucji.

Oczywiście w ten sposób dostanie się na podatne serwery Windows w naszej sieci.

Najprostszy i najszybszy sposób na znalezienie otwartych RDP w naszej sieci:

nmap 192.168.1.0/24 -p 3389 –open

Poniżej listing jak sprawdzić przy pomocy Metasploit czy nasze maszyny są podatne.

msf5 > search BlueKeep

Matching Modules
================

# Name Disclosure Date Rank Check Description
- ---- --------------- ---- ----- -----------
0 auxiliary/scanner/rdp/cve_2019_0708_bluekeep 2019-05-14 normal Yes CVE-2019-0708 BlueKeep Microsoft Remote Desktop RCE Check


msf5 > use auxiliary/scanner/rdp/cve_2019_0708_bluekeep
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > show options

Module options (auxiliary/scanner/rdp/cve_2019_0708_bluekeep):

Name Current Setting Required Description
---- --------------- -------- -----------
RDP_CLIENT_IP 192.168.0.100 yes The client IPv4 address to report during connect
RDP_CLIENT_NAME rdesktop no The client computer name to report during connect, UNSET = random
RDP_DOMAIN no The client domain name to report during connect
RDP_USER no The username to report during connect, UNSET = random
RHOSTS yes The target address range or CIDR identifier
RPORT 3389 yes The target port (TCP)
THREADS 1 yes The number of concurrent threads


Auxiliary action:

Name Description
---- -----------
Scan Scan for exploitable targets


msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > set rhosts 192.168.1.82
rhosts => 192.168.1.82
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > run

[*] 192.168.1.82:3389 - The target service is running, but could not be validated.
[*] 192.168.1.82:3389 - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > set rhosts 192.168.1.248
rhosts => 192.168.1.248
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > run

[+] 192.168.1.248:3389 - The target is vulnerable.
[*] 192.168.1.248:3389 - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) >

Tytuł taki zadziorny 😉

W każdej sieci korporacyjnej mamy sporo drukarek sieciowych, czasem nawet nie wiemy ile i gdzie.

Podpinamy, dołączamy stanowiska komputerowe i zapominamy.

Bardzo często robi to za nas firma zewnętrzna,  obsługująca nam systemy wydruku.

Zaraz przedstawię atak na drukarkę i wyjaśnię dlaczego jest to krytycznie niebezpieczna część sieci.

Na początek na konsoli Linux ( polecam mieć virtualkę z Kali Linux ) zainstalujemy jedno z wielu narzędzi służące do  testów bezpieczeństwa drukarek.

pip install colorama pysnmp 
pip install win_unicode_console 
apt-get install imagemagick ghostscript 
git clone https://github.com/RUB-NDS/PRET 
cd PRET 
./pret.py 192.168.1.136 pcl

ten adres IP to rzeczywiste urządzenie w jednym ze szpitali, które obsługuje. Urządzenie firmy obsługującej systemy wydruku w szpitalu.

Co widzimy? Otrzymujemy powłokę która umożliwia penetrację urządzenia! Żadnych haseł, modeli , szukania itp. starczy adres IP! Co może teraz wykonać osoba, która w ten sposób zaatakowała urządzenie? Wiele, ale zauważcie polecenie PUT, które umożliwia załadowanie statycznej binarki. Taka binarka to może być skaner sieci, malware, sniffer czy exploit na inne urządzenia w sieci.

Często sieć szpitala jest bardzo mądrze posegmentowana, ale drukarki maja dostęp do każdego segmentu, bo tak prościej … w ten sposób atakujący opuszcza vlan do którego się dostał.

Jak się zabezpieczać:

• aktualizacje oprogramowania ( problemem może być drukarka wynajęta, ale o tym potem )
• segmentacja sieci ( da się to ogarnąć, proponuję dyskusję w komentarzach )
• odcięcie drukarki od internetu – całkowite!
• użycie adresu publicznego – wersja dla psychopatów 😉

Jak zmusić firmę zewnętrzną aby dbała o aktualizację oprogramowania? Wyjaśnić że mając taki dostęp do urządzenia, ktoś złośliwy w niecnych celach może zmienić stan licznika 😉 Jesteśmy pełni obaw ….

Drobna modyfikacja poprzednich regułek. Oczywiście zmiany podyktowane przykrymi doświadczeniami 😉

<IfModule rewrite_module>
RewriteEngine on
RewriteCond %{REQUEST_URI} -d
RewriteRule .* /index.php?dir=$0
</IfModule>

# Block any script trying to base64_encode data within the URL.
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block any script that includes a <script> tag in URL.
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block any script trying to set a PHP GLOBALS variable via URL.
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block any script trying to modify a _REQUEST variable via URL.
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root home page
RewriteRule .* index.php [F]

<FilesMatch „wp-config.*\.php|\.htaccess|readme\.html”>
Order allow,deny
Deny from all
</FilesMatch>

<Files wp-login.php>
AuthType Basic
AuthGroupFile /dev/null
AuthName „stop”
AuthUserFile /password (tutaj haslo dostepu do panelu logowania)
require valid-user
</Files>

<Files xmlrpc.php>
Order deny,allow
Deny from all
</Files>

RewriteCond %{QUERY_STRING} author=\d
RewriteRule ^ /? [L,R=301]

<Files ~ „^.*\.([Hh][Tt][Aa])”>
order allow,deny
deny from all
satisfy all
</files>

<Files wp-content/uploads/^(*.jpeg|*.jpg|*.png|*.gif|*.pdf)>
order deny,allow
deny from all
</Files>

<files wp-config.php>
order allow,deny
deny from all
</files>

<Files wp-content/uploads/*.php>
deny from all
</Files>

Skaner urządzeń w sieci. Znajduje urządzenia w zdefiniowanej sieci, po wykryciu maszyny uruchamia swoja bazę exploitów w celu podania danych logowania, danych sieci itp. narzędzie całkiem sprawne.

Niemniej jednak jak już wykryje Wam urządzenia, a wykryje 😉 Warto przeprowadzić test przy pomocy routersploit. Zwykle jeszcze więcej możliwości penetracji urządzenia otrzymacie. Jak pracować z routersploit opisze potem.

Domyślne porty są ok, ale warto dodać 81,8080,8081 i wedle uznania 😉 tak podpowiem że warto dodać port vpn. Można się zdziwić. 🙁