Cuando realizo pruebas de penetración, mis objetivos van más allá de encontrar puertos abiertos, a encontrar "información" que pueda usarse para obtener acceso o impactar negativamente en la compañía. Si solo se enfoca en los puertos (servicios) o la información de CVE, es probable que se pierda los indicadores comunes y la información que un atacante no se perderá. Generalmente mis pruebas de penetración, comienzan como evaluaciones de vulnerabilidad:
- NMAP / Unicorn Scan (herramientas de mapeo de red)
- Nessus / OpenVAS (exploradores de vulnerabilidades)
- Computadora portátil separada que ejecuta Wireshark + Servicio de respuesta de SpiderLabs
El mapeo de la red puede pintar una imagen decente, pero un escaneo NMAP listo para usar no producirá tanta información como, por ejemplo, un escaneo Nessus / OpenVAS, que puede mostrar recursos compartidos abiertos. Un primer día típico puede incluir nada más que descubrimiento (análisis de arp, análisis de nmap, análisis de vulnerabilidad) para que pueda crear una superficie de ataque.
Una vez que se construye una superficie de ataque, el trabajo se divide en automatización y verificación manual. Nunca ejecutaré un exploits contra una vulnerabilidad, donde ese exploit puede desencadenar una denegación de servicio. Derrota el propósito, mientras que puedo documentar: "las vulnerabilidades están disponibles, sin embargo, no se ejecutaron debido a una denegación de servicio" Hago entender esto al cliente: "La puerta está abierta, el atacante entrará, no lo hicimos porque lo haríamos causar el caos ".
Para servicios, tomo servidores HTTP + HTTPS y los envío para que se prueben usando Nikto, Wikto, Burpsuite y AppScan. Enjuague y revise, espere la salida, analice los datos y vaya desde allí. Para servicios en dispositivos específicos (por ejemplo, SSH en un conmutador de Cisco), intentaré una fuerza bruta SOLAMENTE para las 50 contraseñas principales. Hay una razón para esto: necesito verificar si tengo acceso a INTRODUCIR para realizar un cambio y si I (como atacante) será bloqueado después de N intentos. No es necesario que vaya más allá de los diez primeros, ya que puedo redactarlo correctamente: "El atacante tiene la capacidad de forzar repetidamente la fuerza bruta del dispositivo sin marcar. Debido a la cantidad de tiempo en este compromiso, verificamos 50 contraseñas principales ... "De nuevo, no tiene sentido atacar con, por ejemplo, la lista de contraseñas de RockYou. La realidad es que, dado el tiempo suficiente para que un atacante pueda forzar la contraseña ... No se les está bloqueando el intento.
La información es el rey. Por ejemplo, en muchas exploraciones de Nessus, siempre miro los datos informativos. A menudo encuentro que veré algo como "NFS Share World Readable" donde puedo eliminarme de un dominio, montar un recurso compartido, y he aquí que muchas veces he obtenido acceso a archivos PST, material confidencial de la compañía. ¿Qué crees que es más crítico para el negocio? Le dice a un cliente: "Cero pasé tu puerta de enlace SRX (que no puedes arreglar, pero tendrás que depender de un proveedor) en comparación con: pude montar 10.10.10.2: /backups/CEO/backup.pst "
No estoy de acuerdo con el comentario de verificación de la pancarta en lo que antecede, ya que se supone que las organizaciones bajo algunos mandatos crean sus propias pancartas: "El uso restringido de cualquier persona será procesado", sin mencionar que es fácil para el NMAP lanzar una gran cantidad de falsos positivos Para la toma de huellas dactilares, confiaré en p0f .
A menudo busco relés internos, ya que es más fácil omitir los filtros de correo no deseado, y puedo enviar un correo electrónico de phishing a un empleado para probar varias cosas: 1) Conocimiento de los empleados (¿abrieron el correo electrónico?) 2) Mitigaciones tecnológicas ( filtros de correo no deseado) 3) Administración de parches (si mis datos adjuntos tienen lados del cliente en comparación con IE8.0 se activaron)
Le sugiero que consulte Estándar de Ejecución de Pruebas de Penetración para obtener más información que lo ayude con su pregunta. Habrá múltiples respuestas a esta pregunta, pero también se está usando la experiencia para comenzar a encadenar ataques. P.ej. por lo que encontró un recurso compartido nulo contra una máquina Windows. Toma la salida y crea una lista de usuarios (ya que algunos escaneos nulos obtendrán esto para ti), crea una lista de redes que no conoces (obtenida de, digamos, un snmpwalk público), encadénalas con una contraseña superior de 50 bruteforce contra decir una impresora, compartir, etc.
---- (Agregado)
También tome nota, antes de ejecutar cualquier herramienta, si puede conectarse a una red y ver el tráfico, eso es un hallazgo (no hay control de acceso a la red). Si puede ejecutar Wireshark y Responder, más resultados. Hay mucho que hacer fuera de disparar nmap, Nessus, Metasploit, etc. La información debe analizarse lo mejor posible, y dicho esto, la experiencia es la herramienta más grande que tendrá en su arsenal