"Savoir attaquer pour mieux se défendre", telle est la maxime de cette formation Hacking et Sécurité 2020. Partir d’une approche offensive des pratiques et des méthodologies utilisées par les hackers dans le cadre d’intrusions sur les réseaux et les applications. La présente formation hacking et sécurité 2020 se compose de 4 parties :
• Méthodologies de Pentest, Reconnaissance Passive et Active
• Les techniques d'OSINT - L'essentiel
• Attaques Réseaux, Physiques et Clients
• Attaques AD et Web
Dans cette quatrième partie, nous découvrirons ensemble les principales techniques d’attaques dans les environnements active directory et applications web qui nous permettront d’acquérir les bases pour des formations plus avancées.
4. Une formation
Introduction
Le Hacking éthique
Démocratisation des techniques de
pentesting
Evolution de la demande du marché
Volatilité des vulnérabilités
La cybercriminalité qui s’organise !
Domaine vaste
5. Une formation
Plan de la formation
Présentation de la formation
1. Découvrir les techniques d’OSINT de reconnaissances
passive
2. Maitriser les techniques de reconnaissance active
3. Maitriser les attaques réseaux
4. Découvrir les attaques sur les systèmes
5. Découvrir les attaques physiques
6. Introduire les attaques AD
7. Découvrir les attaques Web
Conclusion et perspectives
6. Une formation
Public concerné
Responsables DSI
Responsables sécurité du SI
Chefs de projets IT
Techniciens et administrateurs systèmes et
réseaux
Consultants en sécurité de l'information
7. Une formation
Connaissances requises
Bonnes connaissances en systèmes
d'exploitation et réseau
Bonnes connaissances en sécurité des
systèmes d'information
Optionnel : Connaitre le C, Python,
HTML et JS
8. AVERTISSEMENT
Ni le formateur Ni Alphorm ne sont responsables de la
mauvaise utilisation du contenu de cette formation
L’utilisation des outils doit être réalisée uniquement au
sein d’un environnement virtuel ou avec une autorisation
préalable de l’entreprise
12. Une formation
Introduction
Un chapitre introductif aux exploitations AD
Manipulation d’un exemple de Kill Chain
Formation introductive
Un des sujets des plus importants en 2020/2021
Zone très souvent sous estimés
Techniques d’exploitations et de persistances Quasi
illimité …
17. Une formation
Définition
Active Directory est un service
d’annuaire qui centralise la gestion
des utilisateurs, des ordinateurs et
d’autres objets au sein d’un réseau
Plateforme de gestion d’identité
95% des entreprises du fortune
1000 utilisent Active Directory
29. Une formation
Définition
LLMNR :Link-local Multicast Name
Resolution
Protocole utilisé pour identifier les
hôte quand le service DNS est en
échec
Utilisse le username le hash NTKLv2
de l’utilisateur
30. Une formation
Quand est il utilisé ?
• Erreur de frape
• Erreur de configuration
• Protocole WPAD
• Google Chrome
32. Une formation
Contremesures
Désactiver LLMNR et NBT-NS
Mots de passes utilisateurs forts (> 16
caractères) et complexe
Changer régulièrement de mot de passe
Filtrage de traffic
SMB Signing
Supervision
35. Une formation
Introduction
Technique souvent utilisé afin de
pouvoir gagner un accès shell aux
machines
À la place de récupérer des hashes avec
Responder, on va pouvoir les relayer et
essayer de s’authentifier auprès des
machines (gain d’accès)
37. Une formation
Conditions requises
SMB Signing désactivé
L’utilisateur dont les identifiants sont
relayés doit être administrateur au
niveau de la machine
39. Une formation
Contremesures
Activation de l’SMB Signing à tout les
niveaux
Désactivation de l’authentification
NTML dans le réseau
Restriction administrateurs locaux
Gestion des privilèges
42. Une formation
PSEXEC
« PsExec est un remplaçant léger de Telnet
qui vous permet d'exécuter des processus sur
d'autres systèmes, avec une interactivité
complète pour les applications de console,
sans avoir à installer manuellement le
logiciel client. »
https://docs.microsoft.com/en-
us/sysinternals/downloads/psexec
43. Une formation
Pass The Hash
Une technique qui permet à l'utilisateur de
s'authentifier en utilisant un nom
d'utilisateur valide et le hachage, au lieu du
mot de passe non haché.
Attaque extrêmement efficace, simple et
facile à mettre en œuvre.
47. Une formation
Introduction
La reconnaissance dans les environnements AD
est une phase extrêmement importante
Dance cet approche, c’est une reconnaissance
interne du contexte entreprise
Autrement dit : Reconnaissance LDAP
Peut être native ou automatisé via des outils
49. Une formation
Powerview
PowerView est un outil PowerShell de
reconnaissance AD
Plusieurs taches automatisées
Utilise principalements des Hoooks
Powershell AD et fonctions d’API Win32
53. Une formation
Introduction
BloodHound utilise la théorie des graphes pour
l’identification des chemins d’attaques (Chemin
le plus court Administrateurs de domaines).
BloodHound utilise une approche assez simple
pour la collecte de données avec les ingestors
Interface GUI
Il existe un ensemble de requêtes Built-in pour les
actions les plus fréquentes
60. Password Spraying
Attaques de bruteforcing
Pass The Password
1. Utiliser des tactiques de recherche en ligne et d'ingénierie sociale pour
identifier les organisations cibles et les comptes d'utilisateurs
2. Utilisation de mots de passe faciles à deviner (par exemple,
"Password123") pour exécuter l'attaque
3. Exploiter les comptes compromis pour obtenir des listes plus complètes
4. Attaques latérales au sein du réseau compromis et exfiltrez les données
64. Une formation
Rappel
Kerberos représente un protocole qui
permet à des utilisateurs (clients) de
s’authentifier sur un réseau, et d’accéder à
des services (authentifiée) .
Centralisation d’authentification
Centralisation d’authentification
Protocole basé sur les tickets
69. Kerberoasting
Etape 0 : Accédez au
système client du réseau
de domaine.
Étape 1 : Découvrez ou
scannez le SPN enregistré.
Étape 2 : Demande de
ticket TGS pour le SPN
découvert à l'aide de
Mimikatz/Rebeus/Invoke-
Kerberos…
Étape 3 : Dumper le ticket
TGS qui peut avoir
l'extension .kirbi ou ou un
hash ou ccache
Étape 4: Convertissez le
fichier .kirbi ou
ccache/hash dans un
format crackable
Étape 5 : Utilisez un
dictionnaire pour l'attaque
par force brute.
72. Une formation
Introduction
La vulnérabilité existe en raison d'un défaut
dans un système d'authentification
cryptographique utilisé par le Netlogon
Mise à jour des mots de passe de l'
ordinateur.
Cette faille permet à l'attaquant d'usurper
l'identité du contrôleur de domaine
Dump et accès complet
75. Une formation
Introduction
Outils utilisé afin de pouvoir dumper les identifiants,
tickets kerberos et autres informations sensible de la
mémoire
Credential dumping, pass the hash, over pass the
hash, pass the ticket, golden ticket…
Créer par benjami
76. Une formation
Introduction
Attaque découverte par Benjamin Delpy
(@gentilkiwi)
Permet de fournir un accès complet au domaine
cible
Ce qui implique l’accès aux :
• Machines (Incluant le DC)
• Dossiers
• Fichiers
Un Golden ticket peut perdurer pendant des années
77. Source : Présentation de Benjamin dellpy - mimikatz:présentationetutilisationavancée
78. Golden Ticket : Procedure
1. Compromettre un
ordinateur cible avec un
malware
2. Compromettre un
utilisateur qui dispose
des privilèges de
réplication ou d’accès
d’administrateurs à un
contrôleur de domaine.
3. Se connecter au DC et
obtenir via un dump le
hash du mot de passe du
compte Krbtgt
Il ne reste qu’à charger
le ticket Kerberos
80. Une formation
OWASP
Open Web Application Security Project
Communauté à but non lucratif travaillant
sur la sécurité des applications web
Plusieurs projets: Top 10, guides, outils
(ZAProxy, DependencyCheck…) et plus
encore …
86. Violation de gestion d’authentification
Mots de passe non protégés en base de
données
Les mots de passe sont stockés en clair en BDD
Le mot de passe est envoyé par mail lors d’un
changement
Les mots de passe sont hashés en MD5, SHA-1…
Pas de salage sur les mots de passe
87. Violation de gestion d’authentification
Faiblesse dans la gestion des sessions
Pas de timeout de sessions
Les IDs de session sont envoyés à travers des
URLs
Les IDs de sessions sont faibles
Non rotation des IDs de session après
connexion
PAS DE HTTPS
93. Exemples
Logiciels non mis à jour !
OS
Web/App
Serveur
Librairies
Modules,
plug-in
Fonctions inutiles ou activés
dangereuses
Ports
Services
Pages
Comptes
Privilèges
94. Une formation
Exemples
Mots de passe par défaut
Messages d’erreurs affichés
Configuration par défaut
Configuration non sécurisés
98. Une formation
Type d’injection permettant de faire exécuter du
code sur le navigateur de la victime, par le biais
d’une page Web
Langage JavaScript, ActiveX, VBScript
Attaques possibles :
Cross-Site Scripting (XSS)
Redirections
Voler des
cookies
Phishing Etc.
103. Une formation
Cross-Site Scripting (XSS)
BeEF framework
BeEF est un framework permettant
d’exploiter des vulnérabilités XSS au
travers de navigateurs Web
Le nombre de possibilités est énorme
105. Une formation
Introduction
L’attaque par Cross-Site Request Forgery (CSRF)
consiste faire exécuter des actions à une victime à
son insu
Le principe est simple : l’attaquant forge une
page/requête malveillante, qui va forcer les
navigateurs des victimes qui la visitent d’effectuer
une requête (implicitement)
Cette requête correspond à l’action que l’on veut
faire exécuter à la victime
111. Une formation
Violation de contrôle d’accès
Fonctionnalités restreintes accessibles par
l’utilisateur
Manque de contrôles au niveau des
authentifications
Les contrôles s’effectuent sur des données clients
La configuration par défaut n’interdit pas tous les
droits d’accès
113. Une formation
Violation de contrôle d’accès
Host-header attack
Les développeurs font confiance aux
Headers HTTP pour forger des liens,
importer des fichiers etc
Les headers HTTP peuvent être manipulés
par l’attaquant
L’attaquant peut modifier les requêtes pour
y insérer du code malveillant
114. Une formation
Violation de contrôle d’accès
User-Agent Spoofing
De la même manière, il est possible de modifier le
User-Agent pour y insérer ce que l’on veut à la place :
115. SSRF (Server Side Request Forgery)
L’attaquant abuse des fonctionnalités d’un serveur pour
exécuter des attaques sur un autre serveur
117. Une formation
Exposition De Données Sensibles
Les données sont stockées en clair
Les données circulent en clair sur :
Le réseau interne
Le réseau externe
Internet
Des algorithmes faibles sont utilisés
Les clés de chiffrement sont faibles
123. Une formation
Définition
La désérialisation non sécurisée représente une
vulnérabilité peu connue, mais extrêmement
efficace
Comprenons d'abord ce que signifie la sérialisation
et la désérialisation
La sérialisation est le processus de conversion de
structures de données complexes, telles que des
objets et leurs champs, en un format « plus plat »
124.
125. Une formation
Définition
La désérialisation est le processus de restauration
de ce flux d'octets en une réplique entièrement
fonctionnelle de l'objet d'origine, dans l'état
exact où il a été sérialisé.
126.
127. Une formation
La désérialisation non sécurisé
Cela permet potentiellement à un attaquant de
manipuler des objets sérialisés afin de transmettre
des données nuisibles dans le code de l'application.
Il est même possible de remplacer un objet sérialisé
par un objet d'une classe totalement différente..
Ce qui peut résulter :
• Elévation de privilèges
• RCE (Remote Code Execution)
• Dénis de service
• Injection d’informations falsifiés
130. Une formation
L'exposition d'informations sensibles
L’exposition d’informations sensibles peut concerner :
• Des fichiers ou répertoires sensibles exposés
• Des serveurs non sécurisés exposés
• Transmission de données en clair (réseaux)
• Algorithmes cryptographiques faibles
• Voir partie – Reconnaissance Passive et Active
133. Une formation
Les Injections SQL
L'injection SQL est une vulnérabilité de sécurité Web
qui permet à un attaquant d'interférer avec les
requêtes qu'une application effectue sur sa base de
données.
Vulnérabilités la plus critique du Web
Exploite une erreur de validation des input
utilisateurs
139. Une formation
Impact des injections SQL
Accès non autorisé à la base de données,
partiellement ou complètement
Remote Code Execution
Mise en place d’une backdoor
Altération de données
142. Une formation
Le Repporting
Le Repporting représente une base pyramidal de
votre travail de pentester
Un rapport structuré est un must-do
La rédaction d'un rapport de test d'intrusion est un
art
Le rapport sera également envoyé au
management et à l'équipe technique de
l'organisation cible.
144. AVERTISSEMENT
Ni le formateur Ni Alphorm ne sont responsables de la
mauvaise utilisation du contenu de cette formation
L’utilisation des outils doit être réalisée uniquement au
sein d’un environnement virtuel ou avec une autorisation
préalable de l’entreprise
145. Une formation
Bilan
Découvrir les techniques d’OSINT de reconnaissances
passive
Maitriser les techniques de reconnaissance active
Maitriser les attaques réseaux
Découvrir les attaques sur les cliens
Découvrir les attaques web
Introduire les attaques AD
Découvrir les attaques physiques