Pentester
Всем привет! Возвращаемся к рассказу об одном увлекательном пентесте. В предыдущей части мы смогли при помощи фишинговой рассылки через учётку пользователя в Exchange получить доступ в инфраструктуру клиента. Эта часть будет про поднятие привилегий в домене.
Недавно я участвовал в интересном пентесте масштабной инфраструктуры. После успешного завершения проекта хочу поделиться с вами обнаруженным вектором атаки и опытом применения на практике некоторых техник.
В статье мы рассмотрим важные аспекты — подготовку C2-инфраструктуры, закрепление, схему пивотинга и другие.
Сразу оговорюсь: хотя в пентесте предполагалось противодействие SOC, мы не будем подробно рассматривать техники уклонения.
Надеюсь, чтение этой статьи будет для вас таким же увлекательным, каким для меня был сам проект.
В последнее время в современных веб-приложениях с микросервисной архитектурой всё чаще в качестве API используется фреймворк удалённого вызова процедур gRPC. Данный фреймворк чаще всего использует protocol buffers(protobuf) в качестве языка определения интерфейсов и в качестве основного формата обмена сообщениями. Однако, в отличие от более привычных форматов обмена сообщениями (JSON,XML и тд), которые являются текстовыми, в protobuf фигурируют бинарные данные. Помимо этого, gRPC в качестве транспорта использует исключительно HTTP/2. Чаще всего эти обстоятельства вызывают затруденения при тестировании безопасности веб-приложений, которые используют данный фреймворк.
Данная статья поможет разобраться в том, как тестировать веб-приложения, использующие gRPC. Содержание статьи частично пересекается с моим докладом на OFFZONE 2023, однако, если в нём был сделан упор на рассказ об аспектах protobuf и gRPC и обзор существующих инструментов для тестирования безопасности, то здесь мы рассмотрим практический пример по поиску уязвимостей на демонстрационном стенде с использованием Burp Suite и расширения prototbuf-magic, разработанным нами. Для ознакомления с основами protobuf и gRPC рекомендую послушать мой доклад.
Продолжаем серию статей про полезные расширения Burp Suite.
Одной из задач начального этапа black‑box пентеста веб‑приложения является определение как можно большего количества точек взаимодействия, в том числе и скрытых. Как правило, поиск файлов/директорий/эндпоинтов приложения является базовым знанием для начинающего пентестера и не представляет трудностей в освоении. Другое дело обстоит с поиском параметров. С одной стороны, концептуально он ничем не отличается от перебора директорий в веб‑приложении, с другой — для выполнения этой задачи существует не так много инструментов.
Речь в данной статье пойдет о Param Miner — расширении для Burp Suite. Как и многие расширения (например, Turbo Intruder) под авторством Джеймса Кеттла, Param Miner не имеет документации или подробного туториала от автора. Правда, существует документация от Никиты Ступина @nikitastupin, раскрывающая назначения многих настроек. Я же в данной статье попробую углубиться в Param Miner чуть более подробно.
Практически каждый, кто хоть немного пользовался Burp Suite, знает про Intruder – инструмент внутри Burp, который позволяет автоматизировать атаки на веб-приложения, такие как брутфорс, фаззинг, майнинг параметров.
Однако, Intruder имеет много ограничений. Например, в Intruder не так много возможностей для генерации и предобработки пейлоадов, а также он плохо подходит для тестирования сложных многоступенчатых атак и race condition. Все это делает Intruder не настолько универсальным инструментом, насколько хотелось бы.
К счастью, существует более изящный инструмент с желаемой функциональностью - расширение Turbo Intruder. Инструмент отличный, но у него отсутствует нормальная документация. Скорее всего многие про него слышали и даже пытались разобраться. Для тех, кто разобраться не смог – предназначена эта статья.