Pentest: Retour d’expérience - ese.esiea.fr · PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 [email protected] Auteur : Date : Classification: Pentest: Retour d’expérience

38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 [email protected]

Auteur : Date : Classification:

Pentest: Retour d’expérience

Expectations vs Reality

Marion HENNEQUIN 13/05/2017 Public


Agenda

2

AGENDA

❏ Introduction

❏ Pourquoi faire un pentest? Quel type choisir?

❏ Méthodologie globale et compétences nécessaires

❏ Exemples de scénarios

❏ Q/A

38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 [email protected] 3

INTRODUCTION


C’EST QUI MARION ?

4

● D’abord une infirmière

● Puis pentester en 2013

o Au début dans une grosse SSII

o Puis chez OPMD :p

● Intéressée entre autres par la sécurité des

dispositifs médicaux connectés

● Et par ce qui concerne la sécu globalement

o Mais aussi la rando, le vélo, le judo, le

poney et les pandas …

● @kalin0x sur Twitter –mais en vrai je dis pas grand-chose d’intéressant-


C’EST QUOI OPMD ?

5

● Société française de services informatiques

créée en 2008.

● Spécialisée dans le service en sécurité et

réseaux.

● Interventions dans les domaines de l’Audit,

du Conseil, de l’Expertise, de l’Intégration

et des Services Managés.

● Et on est tous super sympas \o/.


POURQUOI PARLER DU PENTEST?

6

● BEAUCOUP, BEAUCOUP D’IDÉES REÇUES

o "Mais si ton métier c'est pirater des trucs, tu peux pirater le Facebook de mon

amoureux?" - Une préado

o "Du coup, vous piratez les banques? tu peux rajouter quelques zéros sur mon

compte?" - Papa

o "En fait vous passez votre temps à vous amuser donc" – Un vieux pote

o "Ca doit sacrément payer avec tous les trucs sensibles que vous voyez" - Un

chauffeur Uber

o "C'est vrai que vous, les pirates, espionnez les gens pour le gouvernement?" - Un

type au bar fasciné par Sylvain Durif

o "Un pentester c'est un front-end pour Nessus non?" - Un troll

o " Insert random référence à Anonymous " – Les gens



POURQUOI/COMMENT FAIRE UN PENTEST


RAPPEL

9

● PENTEST != AUDIT

o Souvent inclus dans un process d’audit complet

Audit de configuration, Audit de code, Audit organisationnel

o Parfois seul

Process interne, Modifications sur une appli, Contre-audit, Doute sur un élément du SI...

● PENTEST != SCAN DE VULN

o Souvent effectués ensemble

o Dépend du type d’audit choisi

● PENTEST PHYSIQUE

o Cas particulier non couvert ici. Relativement rare en France….


PENTEST PHYSIQUE : ALLÉGORIE

10


POURQUOI FAIRE UN PENTEST?

11

● POUR AVOIR UNE VUE D’ENSEMBLE DU RÉSEAU

o Plutôt basé sur des scans de vulnérabilités, gros périmètre

● PARFOIS POUR VOIR LA CAPACITÉ DE DÉTECTION / RÉPONSE À INCIDENT

o Cas du redteam

● POUR AVOIR UNE ÉVALUATION FACE A L’ÉTAT DE L’ART

o Processus souvent régulier

● MISE EN PLACE D’UNE NOUVELLE APPLICATION

o Processus, doutes…

● POST MORTEM

o Échec de la découverte de l’origine d’une attaque

● PARCE QUE C’EST OBLIGÉ…

o Process interne (qualité/inspection), homologations


QUEL TYPE DE PENTEST?

12

● BLACK BOX

o Interne (visiteur en salle de réunion..)

o Externe (Toto derrière son PC)

● GREY BOX

o Interne (employé malveillant, stagiaire…)

o Externe (personne titulaire d’un compte sur l’application)

● WHITE BOX

o Plus rare, transparence sur l’élément audité , code fourni, etc…

o Plus fréquent pour les homologations


QUEL TYPE DE PENTEST?

13

● CLIENT ET ÉQUIPES AU COURANT

o Cas le plus fréquent

o Permet d’éviter de générer des alertes voire astreintes / cellules de crise

● ÉQUIPES PAS TROP AU COURANT

o Regard indicatif sur la maturité de la supervision (SOC)

o Pas un objectif en soi

● ÉQUIPES PAS AU COURANT DU TOUT

o Client ayant connaissance de la prestation, mais pas des dates exactes d’exécution

o Maturité de la supervision et de la réponse apportée


MÉTHODOLOGIE ET COMPÉTENCES


UNE MÉTHODOLOGIE?

15

« GLOBALEMENT POUR MOI LE PENTEST C'EST PLUS UN JEU QU'AUTRE

CHOSE, ÇA M'AMUSE :) »

« LE TRUC COOL C'EST QUE CE SONT DES CAS RÉELS ET "L'ADRÉNALINE" SI JE PEUX

DIRE »

« INTERESSANT D'EXPLOITER ET DE CHERCHER LES VULNÉRABILITÉS, FRUSTRANT DE

NE PAS POUVOIR LES EXPLOITER »

« JE SUIS QUELQU'UN DE MÉTHODOLOGIQUE ET LÀ ON SE PERD TRÈS TRÈS

FACILEMENT »

« L'ANGOISSE DU "ET SI J'ÉTAIS PASSÉ À COTÉ D'UN TRUC PAR MANQUE DE TEMPS /

EXPÉRIENCE" »



COMPRENDRE LE BESOIN

17

● RÉUNION D’INITIALISATION

o Comprendre ce que veut le client / Identifier les attentes

Pourquoi fait-il cet audit (contexte)?

De quoi a-t’il peur? Quelles sont les données sensibles?

Quels sont les points éventuels, les équipements à NE PAS TESTER, etc (déni de service…)

o Savoir ce qu’on a le droit de faire –exemples arbitraires-

Non, on ne s’amuse pas a faire de virements quand on audite l’appli de gestion des menus de la cantine d’une banque.. (déso)

Non, si tapisseries-d-aubusson.com est hébergé à côté d’un trug genre dgfip, on a pas le droit d’essayer voire d’y penser (déso)

Plus sérieusement: permet de cadrer clairement le périmètre et les attentes


DÉCOUVRIR LE PÉRIMÈTRE

18

● SCANS QUAND ON PEUT (NMAP, NESSUS, SCANS WEB..)

o Permet un balayage rapide

o Couverture des vulns qu’on exploitera pas (sslv3, ping, icmp timestamp…)

o Récupération immédiate des vulns critiques / exploitables

● GOOGLE DORKS, LYCOS, LEAKS ETC …

o Y penser, on trouve parfois des mots de passe valables dedans

o On trouve aussi des sites « sensés être cachés »

● => RECHERCHE DE POINTS D’ENTRÉE


ATTAQUER

19

● PARFOIS LA VULN SERA ÉVIDENTE

Pensée émue pour nos amis des SOC et

CERT d’astreinte ce weekend


ATTAQUER

20

● PARFOIS MOINS ÉVIDENTE

o Utilité de la phase de découverte

o Recherches plus approfondies

o Failles WEB

● SUCCÈS PLUS IMPORTANT EN TEST INTERNE QU’EN TEST EXTERNE

o Périmètre

o Équipements filtrants

● NE PAS OUBLIER DE PRÉVENIR LE CLIENT

o Déni de service

o Crash …


NETTOYER

21

● TOUJOURS!

o Même si c’est sympa quand le presta d’avant nous laisse son webshell à disposition

● PAS TOUJOURS ÉVIDENT

o Notamment dans le cas ou le contrôle total n’a pas été obtenu

● PERMET D’ÉVITER BIEN DES DRAMES

o Exemple: quand on se crée un compte nominatif mais qu’on a un homonyme chez le

client…..


FAIRE UN JOLI RAPPORT ET UNE RÉUNION DE RESTITUTION

22

« JE N'AVAIS PAS CONSCIENCE DE LA DIFFICULTÉ DE RÉDIGER UN RAPPORT AVEC LES CVSS

ET TOUT CA..»

GLOBALEMENT: 2J DE TEST = 1J DE RAPPORT.

● REFLET DU TRAVAIL ACCOMPLI

● PAS FORCÉMENT LU PAR DES PERSONNES TECHNIQUES OU SENSIBILISÉES

● SOUVENT TRÈS NORMÉ

● RISQUE D’OUBLIS

● RÉUNION DE RESTITUTION

o Ambiance variable selon le client


COMPÉTENCES REQUISES

23

« ALORS DEJA Y A BCP MOINS DE DEV ET FAIRE DES TOOLS C'EST PLUS RIGOLO. »

« IL FAUT TOUT LE TEMPS SE REMETTRE EN QUESTION,

APPRENDRE,....COMPRENDRE COMMENT LES GENS REFLECHISSENT. »


COMPÉTENCES

24

● CONNAISSANCES GLOBALES

o Périmètres très hétéroclites

o Un minimum de dev

● SAVOIR RESTER À JOUR

o Réseaux sociaux, presse

o S’intéresser à la sécu globalement

● SAVOIR S’ADAPTER

o Changements de dernière minute fréquents

o Comprendre le besoin (encore!!)

● CONNAÎTRE SES OUTILS

o Si, si…


EXEMPLES DE SCÉNARIOS


COMPROMISSION TOMCAT

26

● CONTEXTE / PÉRIMÈTRE

o Test d’intrusion interne (stagiaire), sur 7 jours.

o Données d’entrée: scope = le LAN

o Premier pentest pour le client

● DONNÉES D’ENTRÉE - DÉCOUVERTE

o Vu le périmètre… gros scan de vuln

o Et là c’est le drame…

o Extrêmement fréquent en interne (site de test, plateforme de dev, etc…)


ADMIN TOMCAT SUR UN WINDOWS = WIN

27

● DIRECTEMENT VIA LE MODULE

METASPLOIT

o Pas discret

o Antivirus

● A LA MAIN



28

● LE FICHIER DÉPLOYÉ CONTIENT DES OUTILS BIEN SYMPATHIQUES :]



29

● CRÉATION D'UN NOUVEAU COMPTE UTILISATEUR, ET AJOUT DE CE DERNIER AUX

ADMINISTRATEURS LOCAUX

o Utile dans le cas d'attaques interne car permet la prise en main en remote desktop

Ca fait des screenshots plus “client-friendly”

o Peu utile dans le cas d'attaques externes, le port 3389 étant souvent filtré

net user marion Toto1234! /add

net localgroup Administrators toto /add

● MAIS BON, ON A PARLÉ DE NESSUS, AUTANT PARLER UN PEU DE METASPLOIT



30

● ON GÉNÈRE UNE BACKDOOR SYMPA

● PUIS ON LA DÉPOSE (VIA LE BROWSER.JSP)

● PUIS ON L’EXÉCUTE VIA LE CMD.JSP

● ET HOP… MAAAAAAAAAAAAAAAAAAAGIE



31

● CLASSIQUEMENT ON VA ALLER CHOPPER LES MOTS DE PASSE…ET VU QUE C’EST UN

SERVEUR…Y’AURA SUREMENT DES ADMINS



32

● SI ON A CHOISI LA VERSION RDP, UN AV UN PEU TROP PERMISSIF ET HOP:


ET SI NESSUS TROUVE RIEN?

33

❏ Super scénario où les outils n’ont rien trouvé

❏ trop ELITE

❏ MEME PAS DE SPLOIT \o/

❏ WOW!

❏ 0 DAYZ TIME!


ET SI NESSUS TROUVE RIEN

34

❏ Super scénario ou aucun outil n’a rien trouvé

❏ trop ELITE

❏ MEME PAS DE SPLOIT \o/

❏ WOW!

❏ 0 DAYZ TIME!OU PAS


SCENARIO – HUMAN MISTAKES

35

● CONTEXTE / PÉRIMÈTRE

o Test d’intrusion externe, blackbox, sur 5jours.

o Données d’entrée: 5 applis (intranet/webmail/apps internes) + 21 IP

o Autorisation d’accéder à toute IP/site appartenant au client, extension en interne

possible

● DONNÉES D’ENTRÉE - DÉCOUVERTE

o Google: découverte d’autres sites (inurl:, site: …)

o Nmap: peu de surface d’exposition (1 FTP, le reste en 80/443 sur des mires d’auth,

ou avec un mini formulaire) => seul point d’entrée: une éventuelle faille WEB

o Nessus sert à rien (pardon)

o Règles ModSecurity de psycho

o 4j et demi a galérer…et puis…



36



37

● SUITE À UN BRUTEFORCE + SCAN VIOLENT, LE SITE NE RÉPOND PLUS TRÈS BIEN

● BAN OU DOS?

o Je teste depuis mon tel en 3G et ca me redirige sur une page à laquelle j’ai accès- oui je sais j’avais pas testé les user agent mobile, bla, bla :( –

o Enfin un point d’entrée…enfin, y’a pas de 401 ou 403, c’est déjà ca…

o Ca donne pas accès à grand-chose… 3 éléments sur la page, mais un avec une URL

intéressante (c’est un genre de thumbnail)

https://site.client.fr/intranet/jcore/tooltip/ttCard.jsp?ttId=c_123456&ttContext=



38

● ON DIRAIT QUE CETTE RÉFÉRENCE IDENTIFIE DES FICHIERS :] … ON BF UN PEU ET….



39

● ON TROUVE DES IDENTIFIANTS, MAIS LE SERVEUR FTP EST VIDE :(



40

● ON TESTE SUR LES

DIFFÉRENTES APPLIS,

● INTÉRESSANT QUE

POUR L’INTRANET..

● CA TOMBE BIEN C’EST

PLUS PRATIQUE POUR

CHERCHER DES DOCS

TECHNIQUES



41

● ET LE MOT DE PASSE EST………

● CES IDENTIFIANTS

PERMETTENT D’ACCÉDER AU

WEBMAIL, MAIS PAS À CITRIX :(

● CONTINUONS LES

RECHERCHES:



42

● ET LE MOT DE PASSE DE USERTEST EST………



43

● ET USERTEST EST…..

o Utilisateur Citrix (Accès au LAN)

o Admin local d’un des bureaux….

o ….qui n’a pas d’AV

o Sur lequel l’admin domaine est

connecté



44

● RÉCUPÉRATION DU MDP DE L’ADMIN DOMAINE

● REBOND SUR LE DC, DUMP DE HASHES… ETC


Marion HENNEQUIN

[email protected]

Documents

Pentest: Retour d’expérience - ese.esiea.fr · PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 [email protected] Auteur : Date : Classification: Pentest: Retour d’expérience