Egy packet full tele SIP forgalommal, mint később kiderült ez egy szolgáltató belső forgalma.
Ez egy másik cég trafficja ahol épp SMB-n egy számlát küldenek át PDF-ben:
Szép és jó de ugye ennél érdekesebb dolgok kellenek. Itt az egyik legnagyobb elektronikai cég proxy pacjából egy szelet:
Ezen mondjuk azért elég nagyot néztem. De legalább a passwd elég komplex még ha nem is jár le. Ez egy group policy rollout forgalma:
Ez az egyik legnagyobb fényképező gépeket gyártó cég belső hálózatából van:
Mivel sima POP3 volt ezért ugye a levelézsük egy részét is lehet olvasni a packet capture-ben. Abból nem raknék be részletet.
És persze még mindig van tovább, az első nagyobb találatom az egy Bank vagy kirendeltség belső forgalma volt. Ez egy csekk elszámoló webapp ahova éppen ellenőrizték illetve töltötték fel a csekkek képeit és adatait is. Sajnos nem valami secured módon mert eleve nem https volt.
A queryre való response így nézett ki: JSON, benne base64-ben egy PNG.
Mivel ekkor még nem tudtam hogy mi is ez, fogtam és decode, png kép megnyit. És akkor láttam hogy a tárolt PNG kép a csekkről. Konkrétan 100+ darabszámra csekkekel volt tele a PCAP file.
Ennél még egy picit tovább mentem, mivel abba a packet strembe nyultam bele ahol azt láttam hogy már a csekkeket ellenőrzik. Logikusnak tűnt hogy a végén ment olyan felületre a user ahol látom milyen oldal ez, esetleg kiderül több info. Szóval kerestem egy olyan flowt ahol láttam hogy full HTML response van, és persze volt még benne javascript stb. Kimásoltam és megcsináltam az oldalt magamnak és megnéztem mégis milyen. Elég durva összegek szerepeltek benne.
Tanulság? Nem tudom elhinni hogy van olyan ember ki bent csinál egy tcpdumpot és utánna ezt feltölti a netre publikus fileshare oldalakra. Egyszerűen nem értem. Már lassan ott tartunk hogy egy metasploitot se kell elindítani mert nincs mit kihozni a cégtől. Minden itt van külső oldalakon publicba. Sőt az adminok lassan backupot állíthatnak vissza fileshare oldalakról. :D
Az utóbbi napokban megkerestem a legtöbb céget, és értesítettem őket a problémáról. Mindenhol volt egy kis kiakadás hogy ez hogy történhetett. Szerencsére kivétel nélkül nagyon megköszönték, és a TEK se jött ki...még... Megint felmerül a kérdés hogy belenézhet e az ember stb. Mivel ebben az esetben is elfogadta a feltöltő a terms and conditions részt ami tartalmazza hogy a saját adata, illetve publikus mások számára a feltöltött adat így jogilag tiszta. Bár ha valaki az adatokkal visszaél, az már egészen más tészta.
Érdekesség: Volt egy PCAP ami nagyon kitűnt a többi közül, a capture egy "külső IP-n" csinálták. Most persze csak tippelgetni lehet hogy mi történt, de lehetséges hogy valaki a belső hálózati forgalom egy részét továbbította egy kinti címen át és ott mindent logolt? Nem tudom, nekem ez nem tűnik elsőre valami logikus lépésnek, mert akkor utánna meg miért tölti fel a PCAP-et ide? Mindenesetre érdekes.
- rodneymullen2 blogja
- A hozzászóláshoz be kell jelentkezni
- 928 megtekintés
Hozzászólások
Nagyon szórakoztató poszt, köszi a munkát!
- A hozzászóláshoz be kell jelentkezni
Nagyon jó "krimi", ne hagy fel a sorozat folytatásával. (*** mert ezzel már különböző titkosszolgálati munkákba, kettősügynök.., v. csak korrupt, éppen az alvilággal kooperáló munkavállalók ügyeibe is belefuthasz. /azért késél..,)
- A hozzászóláshoz be kell jelentkezni
Arra gondoltam, hogy én is búvárkodom saját céges adatok után, de már alig találok klasszikus kereshető file sharing oldalakat, mint anno a megaupload volt. Az új vonalas file sharing-ek ha jól látom nem kereshetőek. Ha nem szemtelenség, megosztanál néhány oldanevet, ami kereshető file sharing?
- A hozzászóláshoz be kell jelentkezni