Как-то выполнял тестирование на проникновение черным ящиком одной трейдинговой платформы. Зацепиться просто не за что, один VPN сервер доступен, даже почтового сервера нет.

На стадии разведки в паблике была обнаружена конфигурация маршрутизатора, в этой конфигурации я увидел, что есть десяток внешних IP адресов которым разрешен доступ к сервису SSH этого маршрутизатора из сети Интернет.

На одном IP висел сервис Nextcloud. Внимательно изучит данный IP адрес был найден еще один сайт на нем. Это был какой-то старый самописный сайт и как следует поискав я нашел файл dompdf.php с уязвимостью CVE-2014-2383.

В результате эксплуатации данной уязвимости был получен доступ на сервер. Тут-то и выясняется, что это облачный сервер системного администратора компании. 

Дальнейшее изучение сервера привело к тому, что удалось установить IP адрес домашнего роутера этого человека.

К мой радости сисадмин делал резервные копии маршрутизатора на этот сервер и я быстро достал из них пароль.

Когда я подключился к домашнему маршрутизатору я нашел рабочую станцию сисадмина, но доступна к ней не было.

Я вернулся на облачный сервер и повысил привилегии до root, извлек все хеши пользователей и отправил их на подбор пароля.

Видеокарты подобрали пароль через 2 дня и этот пароль подошел к рабочей станции сисадмина.

Покопавшись в файлах на рабочей станции ссадина были найдены документы по сетевой ИТ-инфраструктуре,  какие-то архивы, бэкапы сетевого оборудования и две базы менеджера паролей keepass. 

К одной базе паролей сразу подошел один из известных паролей этого пользователя.

И в этой базе был найден доступ в корпоративную сеть.

Так я подключился к сети предприятия и находился в ней еще 6 дней пока меня не вычислил департамент ИБ клиента.

Если Вам нужен впечатляющий результат — свяжитесь со мной.