¿Cuándo y por qué una prueba de penetración requiere no solo el acceso, sino la descarga de un archivo desde la red de un cliente?

1

He leído que acceder a un directorio o archivo remoto es una prueba de concepto suficiente para la mayoría de los pentests. ¿Cuándo y por qué un POC / pentest requiere la descarga de archivos desde un sistema, no simplemente acceder a ellos de forma remota?

La curiosidad acerca de esto fue motivada por otra pregunta que hice, ( Métodos para copiar archivos de un sistema Linux remoto por orden de detectabilidad (asumiendo shell remoto con privilegios de root) ), en los cuales muchas respuestas implicaban que preocuparse por la forma secreta de descargar archivos desde un sistema remoto era extraño o poco ortodoxo. Desde una perspectiva intuitiva, me parece que las copias locales de ciertos archivos remotos pueden ser útiles o entradas necesarias para el análisis que podrían usarse para obtener acceso a otras partes de la red objetivo.

    
pregunta Info5ek 19.09.2016 - 18:16
fuente

4 respuestas

3

Esto depende de las reglas de compromiso. Una prueba de penetración solicitada se realiza dentro de un conjunto muy estricto de pautas (reglas de compromiso) para que no cause más daño que bien. Esto establece límites en cuanto a lo que se puede hacer; Los archivos de exfiltración son bastante riesgosos, ya que pueden contener información confidencial o con información regulada, lo que es bueno saber que está disponible durante un pentest, pero es malo para comenzar a arrastrar en internet. Por lo tanto, siempre siga las reglas de compromiso y, si no están claras en este aspecto, pida que las aclaren antes de comenzar.

Para ser específico a su pregunta, si las pautas de Pentest indican que se puede realizar una exfiltración, Y declara que el objetivo de confirmación positiva es obtener una copia del archivo, entonces eso es lo que hace.

    
respondido por el Jeff Meden 19.09.2016 - 18:27
fuente
1

Algunas veces se realiza un pentest para ejercitar al personal de TI responsable de monitorear y mantener los sistemas (equipo azul). Si el pentestro (equipo rojo) obtuvo acceso a los activos que buscaba sin ser observado por el equipo azul, y si las reglas de compromiso lo permiten (como se indica en otras respuestas), puede tratar de exfiltrar los datos para realizar pruebas y entrenamientos adicionales. El equipo azul.

No es necesario que los datos reales estén exfiltrados, sino que pueden ser algunos datos de muestra representativos. Una vez que el pentester ha exfiltrado con éxito los datos, puede regresar y hacer tanto ruido como sea posible hasta que el equipo azul lo detecte o lo detenga.

Todo esto asume que uno de los objetivos del pentest es estar en un papel de adversario activo con el equipo azul. Esto se hace a menudo para probar la respuesta a incidentes, la efectividad de las herramientas y los procedimientos. El objetivo final es estar mejor preparado cuando un atacante real ataca.

    
respondido por el stuffy 19.09.2016 - 21:37
fuente
1

A veces, el compromiso requiere que simules un ataque real y llegues a cierta parte de la red, como una base de datos, en esos casos, es posible descargar archivos para descubrir usuarios de la red a través de los metadatos (solo un ejemplo). Pero depende del compromiso y debe aclararse con el cliente, nunca descargue archivos sin el consentimiento

    
respondido por el Mr. E 19.09.2016 - 21:56
fuente
1

Cuando su trabajo en un pentest es penetrar lo más profundamente posible, entonces puede descargar archivos a 1. comprometer una máquina / dominio de Windows mediante la descarga de copias de seguridad de la sección SAM en el directorio c: \ windows \ repair, en caso de que exista 2. descargar archivos de configuración php con contraseñas de base de datos 3. descargue varias otras cosas con contraseñas / información confidencial que facilitarán el movimiento lateral o, en general, recopile información para cualquier objetivo que venga a continuación en su infiltración.

    
respondido por el kaidentity 20.09.2016 - 20:11
fuente

Lea otras preguntas en las etiquetas