Shellsec / Hacking / Penetration Testing / Diskussion v / KESDH Whitehat Footprinting

Tråd bedømmelse:
  • 0 Stemmer - 0 Gennemsnit
  • 1
  • 2
  • 3
  • 4
  • 5
Visning af Tråd
KESDH Whitehat Footprinting
04-03-2016, 15:58
#1
MalcolmXI er Offline
Aktivt Medlem
***
 		Indlæg: 837
Registreret: May 2013
Omdømme: 32
KESDH Whitehat Footprinting
Tænkte det kunne være meget sjovt at dele, hvad man kan finde af offentlige informationer, på et system som man rent praktisk ville kunne bruge til lateral movement/pivoting i et relativt HP netværk.
Det er alt sammen offentligt information, som jeg har fundet her i eftermiddags, og der er derfor ikke anvendt portscanning eller andre mere lyssky metoder.
Jeg siger ikke denne information skulle være hemmeligholdt, jeg siger bare at det er meget værdifuldt for en person, som af en eller anden grund har sat sig i hovedet at skulle have uautoriseret adgang til forsvarets systemer. Jeg tvivler også på, at det rent faktisk er noget folk kan bruge til noget.
Desuden skriver jeg på samme tid som jeg læser mig frem, så jeg forbeholder mig retten til fejl og rettelser. I realiteten kan det jeg skriver også være urigtigt og fejlfortolket. Det er op til jer, der rent faktisk læser, at bedømme det. Der bliver ikke anvendt 1337 H3xx00ring, kun lidt Google.


Jeg læste nedenstående artikel på v2, og bed mærke i følgende citat:
Citer:Forsvarets nuværende KESDH-system baseret på Captia blev lanceret i 2009 og kostede samlet Forsvaret omkring 200 millioner kroner.

Det varede dog ikke længe, før systemet blev forældet på grund af en gammel infrastruktur, der bandt Forsvaret til en ældre versioner af Windows, Microsoft Office og Internet Explorer. Det vil derfor stadig ikke være muligt for Forsvaret at opgradere til Office 2010 og nyere, før det nye ESDH-system kommer op at køre i slutningen af i år.
...................
...............
...........
.......
Opgraderingen af systemet gør også op med en lang række besværlige arbejdsgange i Forsvaret. Blandt andet understøtter systemet kun weblogin ved den gamle udgave af Internet Explorer 8, hvilket gør login fra mobile enheder stort set umuligt.
http://www.version2.dk/artikel/forsvaret...-ikke-spil

Hvorvidt det er Captia eller styresystemet selv der resulterer i denne begrænsning ved jeg ikke, men las os for en god ordens skyld have følgende information i baghovedet:
Windows 7 er fra år 2009, og installeres med Internet Explorer 8.
Seneste version af Internet Explorer til Windows XP er 8.
http://windows.microsoft.com/da-dk/inter...g#ie=other
https://en.wikipedia.org/wiki/Microsoft_...dows_Vista

Samt systemkravene til Internet Explorer 8, da man aldrig ved om de har downgraded:
Citer:Availability of Windows Internet Explorer 8

System requirements
Internet Explorer 8 runs on any of the following operating systems:
  • Windows 7, 32-bit versions
  • Windows 7, 64-bit versions
  • Windows Vista, 32-bit versions
  • Windows Vista, 64-bit versions
  • Windows Vista with Service Pack 1 (SP 1) or a later version
  • Windows XP, 32-bit versions with Service Pack 2 (SP2) or a later version
  • Windows XP Professional, 64-bit Edition
  • Windows Server 2003, 32-bit versions with Service Pack 2 (SP2) or a later version
  • Windows Server 2003, 64-bit versions with Service Pack 2 (SP2) or a later version
  • Windows Server 2008, 32-bit, or a later version
  • Windows Server 2008, 64-bit, or a later version
https://support.microsoft.com/da-dk/kb/944036

Af nyere versioner burde vi altså at kunne udelukke Windows 8, 8.1 og 10.

Der blev også nævnt en forældet Office version, og denne ældre artikel fra v2, skrev i 2014 følgende:
Citer:Det er kun lidt over fem år siden, at Forsvaret fik implementeret dets nuværende ESDH-system fra ScanJour i starten af 2009. Systemet kostede samlet omkring 200 mio. kr., men blev hurtigt forældet, da det eksempelvis ikke understøttede Microsoft Office 2010

http://www.version2.dk/artikel/forsvaret...o-kr-68461

Hmm. Hvis vi nu kigger på systemkravene til Office 2010 Standart, ser vi følgende:
Citer:Supports only the 32-bit edition of Office 2010:
  • Windows XP with Service Pack 3 (SP3)
  • Windows Server 2003 Service Pack 2 (SP2), MSXML 6.0
  • Windows Server 2003 R2
Supports both 32-bit or 64-bit editions of Office 2010:
  • Windows Vista with Service Pack 1 (SP1)
  • Windows 7
  • Windows 8
  • Windows Server 2008
  • Windows Server 2008 Service Pack 2 (SP2)
  • Windows Server 2008 R2
  • Windows Server 2008 R2 Service Pack 1 (SP1)
  • Windows Server 2012
  • Terminal Server
  • Windows on Windows (WOW) which allows installation of 32-bit versions of Office 2010 on 64-bit operating systems, excluding Windows Server 2003, 64-bit and Windows XP, 64-bit.
Doesn't support any edition of Office 2010:
  • Windows Server 2003, 64-bit
  • Windows XP, 64-bit
https://technet.microsoft.com/en-us/libr...fice.14%29

Som jeg ser det, ser Office ud til at være godt understøttet, lige med undtagelse af Windows 2003/XP x64.
Det er dog en alt for løs antagelse, så lad os kigge lidt videre.

Ved en Google-søgning fandt jeg følgende: http://medarbejdere.au.dk/search/all/?q=captia
Som sagt er KESDH baseret på Captia, så det kan ikke undgås at der må være nogle ligheder.
Her ses Captias installation på en Windows 7 x64-maskine, men det er stadig for løst, og vi ved jo ikke hvilken version der er omtalt:
http://medarbejdere.au.dk/administration...tallation/

Der er flere vejledninger og dokumenter på Århus Universitets hjemmeside, men vi går i stedet direkte til kilden, scanjours.dk.
Her kan vi se at der er dokumentation for 2 versioner, 4.5SP4 og 3.0SP9.
http://www.scanjour.dk/support/dokumentation-captia/

Hvis vi kigger på Support matrix PDF-filen, kan vi se at v4.5 understøtter både Internet Explorer 9 og Office 2010, begge i x86.
Lad os i stedet gå til fanen for v3.0, og kigge på dennes tilhørende Support matrix PDF-fil.
Her er de seneste understøttede versioner af Windows, Internet Explorer og Office, henholdsvis 7, 8 og 2007.


Vi nærmer os noget brugbart information her, og et par Google-søgninger senere, kommer vi frem til et dokument fra Klagenævnet for Udbud, fra erhvervsstyrelsens hjemmeside:
https://erhvervsstyrelsen.dk/sites/defau...e_fkit.pdf

Denne sag omhandler udbuddet af det nye it-system, og CSC der mener at KMD har haft en fordel, grundet deres opkøb af ScanJours blah blah blah..
I dokumentet kan vi igen læse om problematikken med forældede versioner af Windows, Office og IE, som ikke kan opdateret ved brug af systemer.

Desuden ser vi følgende:
Citer:Den nuværende KESDH-løsning har været i drift siden primo 2009. Så-vel  servere  som  styreprogrammel  mv.  er  nu  utidssvarende  og  udgør  en ”brændende platform” i relation til opretholdelse af driften af KESDH.Således vurderer FKIT, at (a) der er en høj og stigende risiko for fatalenedbrud  som  følge  af  hardware  fejl,  og  (b)  der  er  en  reel  og  stigendesandsynlighed  for,  at  nødvendigt  reserveudstyr,  ikke  kan  fremskaffes. Derudover  afvikles  KESDH  på  en  driftsplatform  bl.a.  bestående  af Windows 2003 servere, som Microsoft ophører med at supportere fra ogmed den 14. juli 2015. Hertil kommer, at den bestående driftsplatform  ikke  muliggør,  at  derkan opgraderes fra Captia version 3.0 til den seneste Captia version 4.7

Det stemmer også over ens med nogle af de ting vi fandt tidligere, og vi kan hermed konkludere, at forsvarets IT-sagsbehandlingsprogram, KESDH, højst sandsynligt kører på et system der repræsenterer nedenstående, med mulighed for variationer:
- Windows Server 2003
- Internet Explorer 8
- Office 2003/2007

Hvis man leder efter et fodfæste, som eventuelt ville kunne resultere i dybere adgang til et netværk, er denne form for information yderst værdifuld, da man her kan begynde planlægningen af et angreb, som i dette tilfælde nu kan inkludere:
- Server 2003 exploits
- Internet Explorer RCE drive-bys
- Office 2007 exploits

Om de bruger Office direkte, eller om det er integreret i deres system ved jeg ikke, men der er massere af dokumentation hvis man vil gå i dybden med det.

Nu ville det så være tid til at finde de nævnte servere, og skanne for porte og services, for at få en bedre forståelse for deres infrastruktur, samt finde yderligere angrebs-vektorer.
(23-10-2015, 21:59)bestworks Skrev: Hope you are best customer and we can to work a long time business
Find alle beskeder fra denne bruger
Citer denne besked i et svar
04-03-2016, 17:39 (Denne besked var sidst ændret: 04-03-2016, 17:40 af ilovelearning0.)
#2
ilovelearning0 er Offline
Medlem
* 		Indlæg: 59
Registreret: Mar 2015
Omdømme: 3
RE: KESDH Whitehat Footprinting
Rigtig fed måde at lave reconaissance på eller footprinting som du skriver. Bliv endelig ved MalcolmXI! Og det kan godt være, at der er blevet misfortolket. Men, selve den process du formår at præsentere er rigtig nyttig til at se hvordan man ellers kan footprinte!
Find alle beskeder fra denne bruger
Citer denne besked i et svar
04-03-2016, 20:25
#3
Spagnum er Offline
Arrangør
*****
 		Indlæg: 678
Registreret: Mar 2013
Omdømme: 24
RE: KESDH Whitehat Footprinting
Solid work og intrassant læsning, tak for det..
Don't learn to hack, hack to learn
Find alle beskeder fra denne bruger
Citer denne besked i et svar
« Ældre | Nyere »




User(s) browsing this thread: 1 Gæst(er)
Kontakt os | Shellsec | Vend tilbage til toppen | Let (arkiv) udseende | RSS synkronisering |