大胆行动，让我们兴奋不已

作者：Sally Vandeven 及 BHIS 团队
提示： 本文中提到的技术和工具可能已过时，不适用于当前环境。但本文仍可作为学习机会，并可能用于更新或集成到现代工具和技术中。

最近在一次评估中，我成功从域控制器获取了所有密码哈希。当我提取哈希并发现他们同时存储了 LANMAN 哈希和 NTLM 哈希时，我心想……哇，我太爱我的工作了！在渗透测试中，有许多时刻让你像那只小狗一样兴奋……

……于是我决定问其他 BHIS 测试员一个问题：
当你在内部或横向移动测试中，有什么事情真的让你“兴奋不已”？
以下是他们的回复：

• David： 发现组织为每个人授予管理员权限……现在域管理员登录在哪里呢？嘿嘿嘿。
• Rick： 登录密码破解器，发现 50% 的密码已被破解（如果是域管理员密码，那就更棒了）。
• BBKing： 当谷歌搜索“$产品名称 默认密码”的答案真的有效时。如果是门锁控制器的密码，那就双倍加分。
• Kelsey： 在 Outlook 的草稿邮件中找到密码。当草稿命名为“密码”时，更容易发现。
• Ethan： 在文档或源代码中找到密码。尤其是数据库密码，然后发现数据库包含社会安全号码。
• Carrie： 我喜欢当默认凭据不起作用时。我已经厌倦了讲那个故事。其他故事更有趣。请让我想出更好的故事。
• Beau： 滥用安全产品来推进我的恶意目标。例如，获取 SIEM 服务器的访问权限，找到 Web 服务器的私钥，然后拦截并解密 IT/安全人员登录控制台的流量。
• Derek： 当我被客户的安全团队抓住时，因为他们做了正确的事情，充分监控日志文件并寻找环境中的异常。然后与他们合作进一步发现监控和事件响应流程中的差距，以更好地检测真正的攻击者。毕竟，这就是我们做渗透测试的原因，对吧？为了让客户变得更好。
• Sierra： 当我打电话进行社会工程学攻击时，仅仅几次尝试后，员工就通知了管理员，然后管理员通知整个公司他们正在遭受虚假电话轰炸。尽管我想进去，但我真的希望人们不要做他们不应该做的事情。
• Jordan： 我曾经发现一个旧的基板管理控制器被客户的漏洞管理程序遗漏了。暴露的 TCP/49152 GET PSBlock 明文密码在我能找到的所有其他系统板上都有效；HP iLO、Dell iDRAC、IBM BMC……

如果你仔细看上面的列表，我们喜欢这些事情是因为它们代表了“低垂果实”。这让我们可以按下简单按钮。现在，这听起来好像渗透测试员天生懒惰，但事实是我们的工作是模仿真正的攻击者。攻击者会选择阻力最小的路径，这意味着从明显的东西开始：默认密码、可猜测的密码、可破解的密码、硬编码密码、未修补的系统、明文敏感数据等。如果简单的东西有效，攻击者得到了他们想要的东西——游戏结束。

如果客户提升他们的游戏水平并修复简单的东西，这会迫使我们也提升我们的游戏水平，否则我们将把自己淘汰出局。
接受挑战！