Projet de pentest et test d'intrusion, exemple

Alors que l'enseignement de la cyber sécurité de manière académique en France est sujet à polémique, voir https://www.nolimitsecu.fr/formation-initiale/ et thread:

https://twitter.com/nolimitsecu/status/1244498221147324417

Une remarque intéréssante de JP Gaulier: "La question étant "Quelles études faut-il faire pour devenir expert cyber ?" Et que le débat va directement vers "il ne faut pas faire d'étude cyber"."

Pour apprendre la cyber-sécurité, il faut passer d'abord par la case informaticien, administrateur système, développeur... Chez Consultingit/RED TEAM LGHM nous avons appris la cybersécurité à force de prendre des baffes et des procès à cause de nos applications qui se faisaient attaquer. En effet, les développeurs ne sont pas des experts en sécurité à la base, il faut qu'ils intègrent un vernis sécurité, qui se forge avec l'expérience et les attaques subies.

 

 

La minute fail de https://www.nolimitsecu.fr/formation-initiale/ nous apprend qu'il faut appliquer une méthode, et ne pas se lancer dans un pentest sans plan d'action.

Quelle(s) méthodes choisir pour "pentester", "sécuriser" ses applications? Chez la Red Team LGHM nous appliquons un dérivé amélioré de la méthode "CEH", que nous avons appris lors de cette formation, puisque bon nombre d'entre nous sont certifiés, et paufinée au fil des années.

Nous pouvons la comparer avec l'excellente méthode de l'Esdacademy de Jérôme Thémée et Ziad Arfaoui.

Fondée en 2015, l'ESD academy a pour mission d'apporter des formations, des certifications et un mastère en cybersécurité pour les organisations francophones et européenne.

Projet de pentest et test d'intrusion : le test d’intrusion . Préambule

Rappels sur un test d’intrusion ?

définition : La méthode consiste généralement à analyser
l'infrastructure d'un réseau informatique, afin de simuler l'attaque
d'un utilisateur mal intentionné, voire d'un logiciel malveillant («malware »);

L'idée de présenter comme se mettre à la place d'un attaquant avant que l'attaquant procède à faire du mal à l'organisation, pour essayer d'y entrer.

le consultant (« pentester ») : analyse alors les risques potentiels
dus à une mauvaise configuration d'un système d'information;

la différence : avec un simple audit de sécurité est la motivation
pour la personne à aller jusqu'à exploiter les failles, montrant ainsi la vulnérabilité.

Avec l'audit on est dans la défence en profondeur, dans le durcicement.

L'objectif du pentest est de prouver qu'il reste encore un risque. On essaye de trouver des failles que la blue team n'a pas trouvé.

test de la boîte noire : le testeur se met dans la peau d'un attaquant
potentiel, et ne possède aucune information ;

test de la boîte grise : le testeur possède un nombre limité
d'informations (ex. : un compte) ;

test de la boîte blanche : le testeur possède les informations dont il
a besoin;

A l'ESD Academy il passent en boite blanche, ça coute moins cher pour l'organisation, ensuite en boite grise, en boite noire, et ensuite en Red TEam pour avoir una attaque haut niveau en équipe.

Redteam : Intrusion physique autorisé, durent parfois 6 mois , vol
de matériel (si il en est autorisé, etc.).

le test d’intrusion peut toucher : le réseau, une application lourde,
application WEB, une infrastructure
une commande peut découler d’une analyse de risque, une revue annuelle, un besoin spécifique, etc.
Exemple PCIDSS

Ces certifications permettent de certifier les pentester : OSCP, SANS SEC560, Badges ESD Cyber Academy
(Badge Encadrement d'un test d'intrusion, Techniques de hacking avancées);
CEH Certified Ethical Hacker qui est la certification la plus reconnue aux USA.
Qualification PASSI : qualification des prestataires par l’ANSSI.

Lien : http://www.pentest-standard.org/index.php/Main_Page
PTES: The Penetration Testing Execution Standard

créé en 2009 par des professionnels de différentes industries
comporte 7 phases des grands classiques dans les tests d'intrusion:
pre-engagement Interactions;
intelligence Gathering; OSINT recherche d'informations
threat Modeling; Modélisation des menaces avec les données trouvées, imaginer les menaces business à travers un diagramme infrastructure...
vulnerability Analysis; Recherche des vulnérabilités
exploitation; On tente d'attaquer les vulnérabilités
post Exploitation; On persiste pour prouver que le systeme est faillible
reporting. On fait un rapport au client sur ce qu'il risque

 

Projet de pentest et test d'intrusion :  Le OWASP Testing Guide

Lien : OWASP testing guide v4 :
https://owasp.org/www-pdf-archive/OTGv4.pdf

méthode pour les tests d’intrusion WEB, DevOps;
projet porté par Matteo Meucci et Andrew Muller;
recommande le threat modeling, la revue des standards et
Processus, analyse de code avant un test d’intrusion;
tests techniques en deux phases :
passifs
actifs
comporte 87 tests.

La méthode ESD Cybersecurity Academy

On parle à un RSSI

Lien : https://github.com/ESD-academy/Outils/tree/master/Pentest%20WEB
Méthode ECA
mélange de PTES, OWASP et retour d’expérience;
approche risque <--> vulnérabilité;
basé sur 2 fichiers sur le github:
Questionnaire-Testdintrusion-ESDacademy;
Méthode-Testdintrusion-Web-OWASP-ESDacademy;
pour WEB ou infrastructure;
pas de conseils techniques, juste de la méthode.

Processus du test d’intrusion

Quelles sont différentes phases

Préparation du projet

Quelles sont différentes phases

 

Projet de pentest et test d'intrusion :  1 - phase commerciale

 

négociation entre le client et le fournisseur;
étude des besoins;
devis;
accord de confidentialité;

 

Projet de pentest et test d'intrusion :  2 - gestion de projet

 

Préparation du projet
Règles de pré-engagement
les règles de pré-engagement ont pour objectif :
-obtenir le périmètre;
-estimation du temps (jours);
-canaux de communications;
-test de charge;
-une note sur la valeur métier (méthode ECA). Est-ce que votre application est sensible ou pas.
-deux phases :
-un questionnaire est envoyé au commanditaire;
-un contrat dûment rempli et signé entre le client et le prestataire;

Wifi? Ingénierie sociale? Etc. On envoie les questions au client. Ce dernier doit le remplir.

On va valider ce document et il va permettre de rédiger le contrat de pentest au commenditaire.

Préparation du projet
Planification
le temps étant estimé, il est nécessaire :
de bien gérer les ressources et temps homme;
de veiller à communiquer avec le client sur des jalons précis.

Gitcloner le fichier : https://github.com/ESD-academy/Outils.git

https://github.com/ESD-academy/Outils/blob/master/Pentest%20WEB/Questio
nnaire-Testdintrusion-20032020-ESD%20academy.xlsx
Questions qui concernent le métier: quels seraient les impacts techniques/financiers des effets minuers jusqu'au dépot de bilan.
Quel serait la source risque? Ebios et Risk manager.Qui serait l'attaquant et quelle serait sa capacité?

Préparation du projet
Questionnaire-Testdintrusion-ESDacademy.xls

Présentation des échelles , méthodes de calcul

Méthode test d'intrusion web OWASP ESDacademy vi 2020.xlsx

1ere Roadmap de l'OWASP

Scoring de vulnérabilités, avec le listing des vulnérabilités, crit-ères de detections, d'exploitations.

On obtient un dashboard avec une gravité et un risque global pour parler au RSSI.

 

Projet de pentest et test d'intrusion :  3- technique

 

Préparation de la plateforme technique. Exemple, machines virtuelles sous AWS ou AZURE
Vérification des accès, ouverture des règles de pare feu
audit technique

 

Démonstration ZIAD : démo d’OSINT avec Cupp, cewl et dork

la collecte passive d'informations n'est généralement utile que s'il existe une exigence très claire que les activités de collecte
d'informations ne soient jamais détectées par la cible. (PTES)

contient la recherche d’informations sur :
Societe.com pour trouver le nom des dirigeants
la société (documents, partenaires, etc.), les réseaux sociaux,
présence sur internet, etc;
infrastructures, logistique, Google earth;
collaborateur de l’organisation.
Recherche d’information; Recherche passive
Google, chercher: site:esdown.fr
intitle:esdown
linkedin: site:fr.linkedin.com inurl:in intitle:esdown
Google hacking database de exploit-db.com
exemple: signup/password.php en effet 90% des sites internets sont en PHP
Regarder le recrutement: on voit les technologies utilisées par la société.

Récolte d'informations

avec cewl, on récupère tous les mots présents dans le site

cewl esdown.eu -m 6
Cela fait une liste unique de mots fonctionnels du site: on sait de quoi traite le site.

On peut ajouter cette liste à cupp pour enrichir la liste de mots de passes à bruteforcer

cewl esdown.eu -m 6 cewl.txt

cupp -w brute cewl.txt

cupp génère une liste de 24000 mots

Recherche active.

Démo de Nmap et DNS bruteforcela collecte active d'informations doit être détectée par la cible et
tout comportement suspect ou malveillant. (PTES)
contient la recherche d’informations sur :
scanner de port;
banner grabbing (recherche des services);
recherche d’enregistrement DNS;
répertoires cachés;
etc.

Nmap, on trouve 2 ports ouverts ssh et http

Démonstration ZIAD : démo de Nmap script vuln, Nikto

Detection de Wordpress 5.4

dnsmap -h pour trouver les sous domaines

dnsmap esdown.eu -w dns.txt

wpscan --help

On va afficher les utilisateurs:

wpscan --url esdown.eu -e w

On trouve 2 utilisateurs:
esdadmin et abuzyn

analyser les vulnérabilités des systèmes, applications, techniques
de bruteforces, etc.
outils efficaces sur le marché
il est parfois nécessaire de trouver manuellement
des listings de vulnérabilités sont ouverts (CVE, CWE, CAPEC, etc.)
l’expérience est un facteur essentiel de réussite de cette étape.

 

Recherche de vulnérabilités:

On lance Nmap script vuln sur les ports ouverts trouvés

nmap -T5 -p 80.22 --script-vuln 192168.56.130

tester l'utilisateur Abuzyn sur le panel Wordpress

On utilise ensuite Nikto -h pour trouver d'autres vulnérabilités

On va lancer wpscan pour bruteforcer le panel admin wordpress avec unser abuzyn

wpscan http://esdown.eu -U abuzyn -p brutewp-final.txt -t 32

Un mot de passe a été trouvé: coronavirus*!

On accède au panel admin de wordpress PHP

On va manipuler les fichiers PHP du site

On rajoute du code sur le thème un reverse shell

system (get cmd...)

Une fois le reverse shell implanté, on peut lancer des commandes systèmes sur le serveur wordpress:

?cmd=ls
On voit tous les fichiers php que l'on peut exfiltrer

 

Projet de pentest et test d'intrusion :  4 - restitution

Rédaction et livraison du rapport
Prépartion de diapositive Powerpoint de restitution et infographie, pour expliquer en réunion.

On va pouvoir rédiger le rapport

 

  

Cet article reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon Consultingit. J'espère que ça vous a plu. Vos commentaires/remarques sont les bienvenus: