1. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
Auteur: Date : Classification:
Pentest: Retour d’expérience
Expectations vs Reality
Marion HENNEQUIN 13/05/2017 Public
2. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
Agenda
2
AGENDA
❏ Introduction
❏ Pourquoi faire un pentest? Quel type choisir?
❏ Méthodologie globale et compétences nécessaires
❏ Exemples de scénarios
❏ Q/A
3. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC 3
INTRODUCTION
4. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
C’EST QUI MARION ?
4
● D’abord une infirmière
● Puis pentester en 2013
o Au début dans une grosse SSII
o Puis chez OPMD :p
● Intéressée entre autres par la sécurité des
dispositifs médicaux connectés
● Et par ce qui concerne la sécu globalement
o Mais aussi la rando, le vélo, le judo, le
poney et les pandas …
● @kalin0x sur Twitter –mais en vrai je dis pas grand-chose d’intéressant-
5. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
C’EST QUOI OPMD ?
5
● Société française de services informatiques
créée en 2008.
● Spécialisée dans le service en sécurité et
réseaux.
● Interventions dans les domaines de l’Audit,
du Conseil, de l’Expertise, de l’Intégration
et des Services Managés.
● Et on est tous super sympas o/.
6. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
POURQUOI PARLER DU PENTEST?
6
● BEAUCOUP, BEAUCOUP D’IDÉES REÇUES
o "Mais si ton métier c'est pirater des trucs, tu peux pirater le Facebook de mon
amoureux?" - Une préado
o "Du coup, vous piratez les banques? tu peux rajouter quelques zéros sur mon
compte?" - Papa
o "En fait vous passez votre temps à vous amuser donc" – Un vieux pote
o "Ca doit sacrément payer avec tous les trucs sensibles que vous voyez" - Un
chauffeur Uber
o "C'est vrai que vous, les pirates, espionnez les gens pour le gouvernement?" - Un
type au bar fasciné par Sylvain Durif
o "Un pentester c'est un front-end pour Nessus non?" - Un troll
o " Insert random référence à Anonymous " – Les gens
7. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC 7
8. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC 8
POURQUOI/COMMENT FAIRE UN PENTEST
9. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
RAPPEL
9
● PENTEST != AUDIT
o Souvent inclus dans un process d’audit complet
Audit de configuration, Audit de code, Audit organisationnel
o Parfois seul
Process interne, Modifications sur une appli, Contre-audit, Doute sur un élément du SI...
● PENTEST != SCAN DE VULN
o Souvent effectués ensemble
o Dépend du type d’audit choisi
● PENTEST PHYSIQUE
o Cas particulier non couvert ici. Relativement rare en France….
10. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
PENTEST PHYSIQUE : ALLÉGORIE
10
11. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
POURQUOI FAIRE UN PENTEST?
11
● POUR AVOIR UNE VUE D’ENSEMBLE DU RÉSEAU
o Plutôt basé sur des scans de vulnérabilités, gros périmètre
● PARFOIS POUR VOIR LA CAPACITÉ DE DÉTECTION / RÉPONSE À INCIDENT
o Cas du redteam
● POUR AVOIR UNE ÉVALUATION FACE A L’ÉTAT DE L’ART
o Processus souvent régulier
● MISE EN PLACE D’UNE NOUVELLE APPLICATION
o Processus, doutes…
● POST MORTEM
o Échec de la découverte de l’origine d’une attaque
● PARCE QUE C’EST OBLIGÉ…
o Process interne (qualité/inspection), homologations
12. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
QUEL TYPE DE PENTEST?
12
● BLACK BOX
o Interne (visiteur en salle de réunion..)
o Externe (Toto derrière son PC)
● GREY BOX
o Interne (employé malveillant, stagiaire…)
o Externe (personne titulaire d’un compte sur l’application)
● WHITE BOX
o Plus rare, transparence sur l’élément audité , code fourni, etc…
o Plus fréquent pour les homologations
13. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
QUEL TYPE DE PENTEST?
13
● CLIENT ET ÉQUIPES AU COURANT
o Cas le plus fréquent
o Permet d’éviter de générer des alertes voire astreintes / cellules de crise
● ÉQUIPES PAS TROP AU COURANT
o Regard indicatif sur la maturité de la supervision (SOC)
o Pas un objectif en soi
● ÉQUIPES PAS AU COURANT DU TOUT
o Client ayant connaissance de la prestation, mais pas des dates exactes d’exécution
o Maturité de la supervision et de la réponse apportée
14. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC 14
MÉTHODOLOGIE ET COMPÉTENCES
15. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
UNE MÉTHODOLOGIE?
15
« GLOBALEMENT POUR MOI LE PENTEST C'EST PLUS UN JEU QU'AUTRE
CHOSE, ÇA M'AMUSE :) »
« LE TRUC COOL C'EST QUE CE SONT DES CAS RÉELS ET "L'ADRÉNALINE" SI JE PEUX
DIRE »
« INTERESSANT D'EXPLOITER ET DE CHERCHER LES VULNÉRABILITÉS, FRUSTRANT DE
NE PAS POUVOIR LES EXPLOITER »
« JE SUIS QUELQU'UN DE MÉTHODOLOGIQUE ET LÀ ON SE PERD TRÈS TRÈS
FACILEMENT »
« L'ANGOISSE DU "ET SI J'ÉTAIS PASSÉ À COTÉ D'UN TRUC PAR MANQUE DE TEMPS /
EXPÉRIENCE" »
16. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC 16
17. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
COMPRENDRE LE BESOIN
17
● RÉUNION D’INITIALISATION
o Comprendre ce que veut le client / Identifier les attentes
Pourquoi fait-il cet audit (contexte)?
De quoi a-t’il peur? Quelles sont les données sensibles?
Quels sont les points éventuels, les équipements à NE PAS TESTER, etc (déni de service…)
o Savoir ce qu’on a le droit de faire –exemples arbitraires-
Non, on ne s’amuse pas a faire de virements quand on audite l’appli de gestion des menus de la cantine d’une banque.. (déso)
Non, si tapisseries-d-aubusson.com est hébergé à côté d’un trug genre dgfip, on a pas le droit d’essayer voire d’y penser (déso)
Plus sérieusement: permet de cadrer clairement le périmètre et les attentes
18. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
DÉCOUVRIR LE PÉRIMÈTRE
18
● SCANS QUAND ON PEUT (NMAP, NESSUS, SCANS WEB..)
o Permet un balayage rapide
o Couverture des vulns qu’on exploitera pas (sslv3, ping, icmp timestamp…)
o Récupération immédiate des vulns critiques / exploitables
● GOOGLE DORKS, LYCOS, LEAKS ETC …
o Y penser, on trouve parfois des mots de passe valables dedans
o On trouve aussi des sites « sensés être cachés »
● => RECHERCHE DE POINTS D’ENTRÉE
19. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
ATTAQUER
19
● PARFOIS LA VULN SERA ÉVIDENTE
Pensée émue pour nos amis des SOC et
CERT d’astreinte ce weekend
20. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
ATTAQUER
20
● PARFOIS MOINS ÉVIDENTE
o Utilité de la phase de découverte
o Recherches plus approfondies
o Failles WEB
● SUCCÈS PLUS IMPORTANT EN TEST INTERNE QU’EN TEST EXTERNE
o Périmètre
o Équipements filtrants
● NE PAS OUBLIER DE PRÉVENIR LE CLIENT
o Déni de service
o Crash …
21. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
NETTOYER
21
● TOUJOURS!
o Même si c’est sympa quand le presta d’avant nous laisse son webshell à disposition
● PAS TOUJOURS ÉVIDENT
o Notamment dans le cas ou le contrôle total n’a pas été obtenu
● PERMET D’ÉVITER BIEN DES DRAMES
o Recevoir des mails quand on s’est créé un compte AD par copie, et qu’il y a un
homonyme chez le client…..
22. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
FAIRE UN JOLI RAPPORT ET UNE RÉUNION DE RESTITUTION
22
« JE N'AVAIS PAS CONSCIENCE DE LA DIFFICULTÉ DE RÉDIGER UN RAPPORT AVEC LES CVSS
ET TOUT CA..»
GLOBALEMENT: 2J DE TEST = 1J DE RAPPORT.
● REFLET DU TRAVAIL ACCOMPLI
● PAS FORCÉMENT LU PAR DES PERSONNES TECHNIQUES OU SENSIBILISÉES
● SOUVENT TRÈS NORMÉ
● RISQUE D’OUBLIS
● RÉUNION DE RESTITUTION
o Ambiance variable selon le client
23. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
COMPÉTENCES REQUISES
23
« ALORS DEJA Y A BCP MOINS DE DEV ET FAIRE DES TOOLS C'EST PLUS RIGOLO. »
« IL FAUT TOUT LE TEMPS SE REMETTRE EN QUESTION,
APPRENDRE,....COMPRENDRE COMMENT LES GENS REFLECHISSENT. »
24. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
COMPÉTENCES
24
● CONNAISSANCES GLOBALES
o Périmètres très hétéroclites
o Un minimum de dev
● SAVOIR RESTER À JOUR
o Réseaux sociaux, presse
o S’intéresser à la sécu globalement
● SAVOIR S’ADAPTER
o Changements de dernière minute fréquents
o Comprendre le besoin (encore!!)
● CONNAÎTRE SES OUTILS
o Si, si…
25. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC 25
EXEMPLES DE SCÉNARIOS
26. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
COMPROMISSION TOMCAT
26
● CONTEXTE / PÉRIMÈTRE
o Test d’intrusion interne (stagiaire), sur 7 jours.
o Données d’entrée: scope = le LAN
o Premier pentest pour le client
● DONNÉES D’ENTRÉE - DÉCOUVERTE
o Vu le périmètre… gros scan de vuln
o Et là c’est le drame…
o Extrêmement fréquent en interne (site de test, plateforme de dev, etc…)
27. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
ADMIN TOMCAT SUR UN WINDOWS = WIN
27
● DIRECTEMENT VIA LE MODULE
METASPLOIT
o Pas discret
o Antivirus
● A LA MAIN
28. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
COMPROMISSION TOMCAT
28
● LE FICHIER DÉPLOYÉ CONTIENT DES OUTILS BIEN SYMPATHIQUES :]
29. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
COMPROMISSION TOMCAT
29
● CRÉATION D'UN NOUVEAU COMPTE UTILISATEUR, ET AJOUT DE CE DERNIER AUX
ADMINISTRATEURS LOCAUX
o Utile dans le cas d'attaques interne car permet la prise en main en remote desktop
Ca fait des screenshots plus “client-friendly”
o Peu utile dans le cas d'attaques externes, le port 3389 étant souvent filtré
net user marion Toto1234! /add
net localgroup Administrators toto /add
● MAIS BON, ON A PARLÉ DE NESSUS, AUTANT PARLER UN PEU DE METASPLOIT
30. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
COMPROMISSION TOMCAT
30
● ON GÉNÈRE UNE BACKDOOR SYMPA
● PUIS ON LA DÉPOSE (VIA LE BROWSER.JSP)
● PUIS ON L’EXÉCUTE VIA LE CMD.JSP
● ET HOP… MAAAAAAAAAAAAAAAAAAAGIE
31. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
COMPROMISSION TOMCAT
31
● CLASSIQUEMENT ON VA ALLER CHOPPER LES MOTS DE PASSE…ET VU QUE C’EST UN
SERVEUR…Y’AURA SUREMENT DES ADMINS
32. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
COMPROMISSION TOMCAT
32
● SI ON A CHOISI LA VERSION RDP, UN AV UN PEU TROP PERMISSIF ET HOP:
33. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
ET SI NESSUS TROUVE RIEN?
33
❏ Super scénario où les outils n’ont rien trouvé
❏ trop ELITE
❏ MEME PAS DE SPLOIT o/
❏ WOW!
❏ 0 DAYZ TIME!
34. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
ET SI NESSUS TROUVE RIEN
34
❏ Super scénario ou aucun outil n’a rien trouvé
❏ trop ELITE
❏ MEME PAS DE SPLOIT o/
❏ WOW!
❏ 0 DAYZ TIME!OU PAS
35. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
SCENARIO – HUMAN MISTAKES
35
● CONTEXTE / PÉRIMÈTRE
o Test d’intrusion externe, blackbox, sur 5jours.
o Données d’entrée: 5 applis (intranet/webmail/apps internes) + 21 IP
o Autorisation d’accéder à toute IP/site appartenant au client, extension en interne
possible
● DONNÉES D’ENTRÉE - DÉCOUVERTE
o Google: découverte d’autres sites (inurl:, site: …)
o Nmap: peu de surface d’exposition (1 FTP, le reste en 80/443 sur des mires d’auth,
ou avec un mini formulaire) => seul point d’entrée: une éventuelle faille WEB
o Nessus sert à rien (pardon)
o Règles ModSecurity de psycho
o 4j et demi a galérer…et puis…
36. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
SCENARIO – HUMAN MISTAKES
36
37. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
SCENARIO – HUMAN MISTAKES
37
● SUITE À UN BRUTEFORCE + SCAN VIOLENT, LE SITE NE RÉPOND PLUS TRÈS BIEN
● BAN OU DOS?
o Je teste depuis mon tel en 3G et ca me redirige sur une page à laquelle j’ai accès
- oui je sais j’avais pas testé les user agent mobile, bla, bla :( –
o Enfin un point d’entrée…enfin, y’a pas de 401 ou 403, c’est déjà ca…
o Ca donne pas accès à grand-chose… 3 éléments sur la page, mais un avec une URL
intéressante (c’est un genre de thumbnail)
https://site.client.fr/intranet/jcore/tooltip/ttCard.jsp?ttId=c_123456&ttContext=
38. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
SCENARIO – HUMAN MISTAKES
38
● ON DIRAIT QUE CETTE RÉFÉRENCE IDENTIFIE DES FICHIERS :] … ON BF UN PEU ET….
39. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
SCENARIO – HUMAN MISTAKES
39
● ON TROUVE DES IDENTIFIANTS, MAIS LE SERVEUR FTP EST VIDE :(
40. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
SCENARIO – HUMAN MISTAKES
40
● ON TESTE SUR LES
DIFFÉRENTES APPLIS,
● INTÉRESSANT QUE
POUR L’INTRANET..
● CA TOMBE BIEN C’EST
PLUS PRATIQUE POUR
CHERCHER DES DOCS
TECHNIQUES
41. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
SCENARIO – HUMAN MISTAKES
41
● ET LE MOT DE PASSE EST………
● CES IDENTIFIANTS
PERMETTENT D’ACCÉDER AU
WEBMAIL, MAIS PAS À CITRIX :(
● CONTINUONS LES
RECHERCHES:
42. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
SCENARIO – HUMAN MISTAKES
42
● ET LE MOT DE PASSE DE USERTEST EST………
43. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
SCENARIO – HUMAN MISTAKES
43
● ET USERTEST EST…..
o Utilisateur Citrix (Accès au LAN)
o Admin local d’un des bureaux….
o ….qui n’a pas d’AV
o Sur lequel l’admin domaine est
connecté
44. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
SCENARIO – HUMAN MISTAKES
44
● RÉCUPÉRATION DU MDP DE L’ADMIN DOMAINE
● REBOND SUR LE DC, DUMP DE HASHES… ETC
45. 38 Rue Laffitte - 75009 Paris (+33)1 83 62 51 79 contact@opmd.frPUBLIC
Marion HENNEQUIN
marion.hennequin@opmd.fr