Pentest: Retour d’expérience

Expectations vs Reality

Auteur : Marion HENNEQUIN Date : 13/05/2017 Classification: Public

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr
 Agenda

AGENDA
❏ Introduction
❏ Pourquoi faire un pentest? Quel type choisir?
❏ Méthodologie globale et compétences nécessaires
❏ Exemples de scénarios
❏ Q/A

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 2

 INTRODUCTION

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 3

 C’EST QUI MARION ?

● D’abord une infirmière

● Puis pentester en 2013
o Au début dans une grosse SSII
o Puis chez OPMD :p
● Intéressée entre autres par la sécurité des
dispositifs médicaux connectés
● Et par ce qui concerne la sécu globalement
o Mais aussi la rando, le vélo, le judo, le
poney et les pandas …
● @kalin0x sur Twitter –mais en vrai je dis pas grand-chose d’intéressant-

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 4

 C’EST QUOI OPMD ?

● Société française de services informatiques

créée en 2008.
● Spécialisée dans le service en sécurité et
réseaux.
● Interventions dans les domaines de l’Audit,
du Conseil, de l’Expertise, de l’Intégration
et des Services Managés.
● Et on est tous super sympas \o/.

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 5

 POURQUOI PARLER DU PENTEST?

● BEAUCOUP, BEAUCOUP D’IDÉES REÇUES

o "Mais si ton métier c'est pirater des trucs, tu peux pirater le Facebook de mon
amoureux?" - Une préado
o "Du coup, vous piratez les banques? tu peux rajouter quelques zéros sur mon
compte?" - Papa
o "En fait vous passez votre temps à vous amuser donc" – Un vieux pote
o "Ca doit sacrément payer avec tous les trucs sensibles que vous voyez" - Un
chauffeur Uber
o "C'est vrai que vous, les pirates, espionnez les gens pour le gouvernement?" - Un
type au bar fasciné par Sylvain Durif
o "Un pentester c'est un front-end pour Nessus non?" - Un troll
o " Insert random référence à Anonymous " – Les gens

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 6

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 7
 POURQUOI/COMMENT FAIRE UN PENTEST

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 8

 RAPPEL

● PENTEST != AUDIT
o Souvent inclus dans un process d’audit complet
 Audit de configuration, Audit de code, Audit organisationnel

o Parfois seul
 Process interne, Modifications sur une appli, Contre-audit, Doute sur un élément du SI...

● PENTEST != SCAN DE VULN

o Souvent effectués ensemble
o Dépend du type d’audit choisi
● PENTEST PHYSIQUE
o Cas particulier non couvert ici. Relativement rare en France….

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 9

 PENTEST PHYSIQUE : ALLÉGORIE

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 10

 POURQUOI FAIRE UN PENTEST?

● POUR AVOIR UNE VUE D’ENSEMBLE DU RÉSEAU

o Plutôt basé sur des scans de vulnérabilités, gros périmètre
● PARFOIS POUR VOIR LA CAPACITÉ DE DÉTECTION / RÉPONSE À INCIDENT
o Cas du redteam
● POUR AVOIR UNE ÉVALUATION FACE A L’ÉTAT DE L’ART
o Processus souvent régulier
● MISE EN PLACE D’UNE NOUVELLE APPLICATION
o Processus, doutes…
● POST MORTEM
o Échec de la découverte de l’origine d’une attaque
● PARCE QUE C’EST OBLIGÉ…
o Process interne (qualité/inspection), homologations
PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 11
 QUEL TYPE DE PENTEST?

● BLACK BOX
o Interne (visiteur en salle de réunion..)
o Externe (Toto derrière son PC)
● GREY BOX
o Interne (employé malveillant, stagiaire…)
o Externe (personne titulaire d’un compte sur l’application)
● WHITE BOX
o Plus rare, transparence sur l’élément audité , code fourni, etc…
o Plus fréquent pour les homologations

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 12

 QUEL TYPE DE PENTEST?

● CLIENT ET ÉQUIPES AU COURANT

o Cas le plus fréquent
o Permet d’éviter de générer des alertes voire astreintes / cellules de crise
● ÉQUIPES PAS TROP AU COURANT
o Regard indicatif sur la maturité de la supervision (SOC)
o Pas un objectif en soi
● ÉQUIPES PAS AU COURANT DU TOUT
o Client ayant connaissance de la prestation, mais pas des dates exactes d’exécution
o Maturité de la supervision et de la réponse apportée

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 13

 MÉTHODOLOGIE ET COMPÉTENCES

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 14

 UNE MÉTHODOLOGIE?

« GLOBALEMENT POUR MOI LE PENTEST C'EST PLUS UN JEU QU'AUTRE

CHOSE, ÇA M'AMUSE :) »
« LE TRUC COOL C'EST QUE CE SONT DES CAS RÉELS ET "L'ADRÉNALINE" SI JE PEUX
DIRE »
« INTERESSANT D'EXPLOITER ET DE CHERCHER LES VULNÉRABILITÉS, FRUSTRANT DE
NE PAS POUVOIR LES EXPLOITER »
« JE SUIS QUELQU'UN DE MÉTHODOLOGIQUE ET LÀ ON SE PERD TRÈS TRÈS
FACILEMENT »
« L'ANGOISSE DU "ET SI J'ÉTAIS PASSÉ À COTÉ D'UN TRUC PAR MANQUE DE TEMPS /
EXPÉRIENCE" »

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 15

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 16
 COMPRENDRE LE BESOIN

● RÉUNION D’INITIALISATION
o Comprendre ce que veut le client / Identifier les attentes
 Pourquoi fait-il cet audit (contexte)?

 De quoi a-t’il peur? Quelles sont les données sensibles?

 Quels sont les points éventuels, les équipements à NE PAS TESTER, etc (déni de service…)

o Savoir ce qu’on a le droit de faire –exemples arbitraires-

 Non, on ne s’amuse pas a faire de virements quand on audite l’appli de gestion des menus de la cantine d’une banque.. (déso)

 Non, si tapisseries-d-aubusson.com est hébergé à côté d’un trug genre dgfip, on a pas le droit d’essayer voire d’y penser (déso)

 Plus sérieusement: permet de cadrer clairement le périmètre et les attentes

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 17

 DÉCOUVRIR LE PÉRIMÈTRE

● SCANS QUAND ON PEUT (NMAP, NESSUS, SCANS WEB..)

o Permet un balayage rapide
o Couverture des vulns qu’on exploitera pas (sslv3, ping, icmp timestamp…)
o Récupération immédiate des vulns critiques / exploitables
● GOOGLE DORKS, LYCOS, LEAKS ETC …
o Y penser, on trouve parfois des mots de passe valables dedans
o On trouve aussi des sites « sensés être cachés »

● => RECHERCHE DE POINTS D’ENTRÉE

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 18

 ATTAQUER

● PARFOIS LA VULN SERA ÉVIDENTE

  Pensée émue pour nos amis des SOC et

  CERT d’astreinte ce weekend

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 19

 ATTAQUER

● PARFOIS MOINS ÉVIDENTE

o Utilité de la phase de découverte
o Recherches plus approfondies
o Failles WEB
● SUCCÈS PLUS IMPORTANT EN TEST INTERNE QU’EN TEST EXTERNE
o Périmètre
o Équipements filtrants
● NE PAS OUBLIER DE PRÉVENIR LE CLIENT
o Déni de service
o Crash …

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 20

 NETTOYER

● TOUJOURS!
o Même si c’est sympa quand le presta d’avant nous laisse son webshell à disposition

● PAS TOUJOURS ÉVIDENT

o Notamment dans le cas ou le contrôle total n’a pas été obtenu

● PERMET D’ÉVITER BIEN DES DRAMES

o Exemple: quand on se crée un compte nominatif mais qu’on a un homonyme chez le
client…..

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 21

 FAIRE UN JOLI RAPPORT ET UNE RÉUNION DE RESTITUTION

« JE N'AVAIS PAS CONSCIENCE DE LA DIFFICULTÉ DE RÉDIGER UN RAPPORT AVEC LES CVSS

ET TOUT CA..»
GLOBALEMENT: 2J DE TEST = 1J DE RAPPORT.
● REFLET DU TRAVAIL ACCOMPLI
● PAS FORCÉMENT LU PAR DES PERSONNES TECHNIQUES OU SENSIBILISÉES
● SOUVENT TRÈS NORMÉ
● RISQUE D’OUBLIS
● RÉUNION DE RESTITUTION
o Ambiance variable selon le client

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 22

 COMPÉTENCES REQUISES

« ALORS DEJA Y A BCP MOINS DE DEV ET FAIRE DES TOOLS C'EST PLUS RIGOLO. »
« IL FAUT TOUT LE TEMPS SE REMETTRE EN QUESTION,
APPRENDRE,....COMPRENDRE COMMENT LES GENS REFLECHISSENT. »

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 23

 COMPÉTENCES

● CONNAISSANCES GLOBALES
o Périmètres très hétéroclites
o Un minimum de dev
● SAVOIR RESTER À JOUR
o Réseaux sociaux, presse
o S’intéresser à la sécu globalement
● SAVOIR S’ADAPTER
o Changements de dernière minute fréquents
o Comprendre le besoin (encore!!)
● CONNAÎTRE SES OUTILS
o Si, si…

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 24

 EXEMPLES DE SCÉNARIOS

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 25

 COMPROMISSION TOMCAT

● CONTEXTE / PÉRIMÈTRE
o Test d’intrusion interne (stagiaire), sur 7 jours.
o Données d’entrée: scope = le LAN
o Premier pentest pour le client
● DONNÉES D’ENTRÉE - DÉCOUVERTE
o Vu le périmètre… gros scan de vuln
o Et là c’est le drame…

o Extrêmement fréquent en interne (site de test, plateforme de dev, etc…)

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 26

 ADMIN TOMCAT SUR UN WINDOWS = WIN

● DIRECTEMENT VIA LE MODULE

METASPLOIT
o Pas discret
o Antivirus

● A LA MAIN

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 27

 COMPROMISSION TOMCAT

● LE FICHIER DÉPLOYÉ CONTIENT DES OUTILS BIEN SYMPATHIQUES :]

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 28

 COMPROMISSION TOMCAT

● CRÉATION D'UN NOUVEAU COMPTE UTILISATEUR, ET AJOUT DE CE DERNIER AUX

ADMINISTRATEURS LOCAUX
o Utile dans le cas d'attaques interne car permet la prise en main en remote desktop
 Ca fait des screenshots plus “client-friendly”

o Peu utile dans le cas d'attaques externes, le port 3389 étant souvent filtré
 net user marion Toto1234! /add

 net localgroup Administrators toto /add

● MAIS BON, ON A PARLÉ DE NESSUS, AUTANT PARLER UN PEU DE METASPLOIT

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 29

 COMPROMISSION TOMCAT

● ON GÉNÈRE UNE BACKDOOR SYMPA

● PUIS ON LA DÉPOSE (VIA LE BROWSER.JSP)

● PUIS ON L’EXÉCUTE VIA LE CMD.JSP
● ET HOP… MAAAAAAAAAAAAAAAAAAAGIE

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 30

 COMPROMISSION TOMCAT

● CLASSIQUEMENT ON VA ALLER CHOPPER LES MOTS DE PASSE…ET VU QUE C’EST UN

SERVEUR…Y’AURA SUREMENT DES ADMINS

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 31

 COMPROMISSION TOMCAT

● SI ON A CHOISI LA VERSION RDP, UN AV UN PEU TROP PERMISSIF ET HOP:

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 32

 ET SI NESSUS TROUVE RIEN?

❏ Super scénario où les outils n’ont rien trouvé

❏ trop ELITE
❏ MEME PAS DE SPLOIT \o/

❏ WOW!
❏ 0 DAYZ TIME!

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 33

 ET SI NESSUS TROUVE RIEN

❏ Super scénario ou aucun outil n’a rien trouvé

OU PAS
❏ trop ELITE
❏ MEME PAS DE SPLOIT \o/

❏ WOW!
❏ 0 DAYZ TIME!

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 34

 SCENARIO – HUMAN MISTAKES

● CONTEXTE / PÉRIMÈTRE
o Test d’intrusion externe, blackbox, sur 5jours.
o Données d’entrée: 5 applis (intranet/webmail/apps internes) + 21 IP
o Autorisation d’accéder à toute IP/site appartenant au client, extension en interne
possible
● DONNÉES D’ENTRÉE - DÉCOUVERTE
o Google: découverte d’autres sites (inurl:, site: …)
o Nmap: peu de surface d’exposition (1 FTP, le reste en 80/443 sur des mires d’auth,
ou avec un mini formulaire) => seul point d’entrée: une éventuelle faille WEB
o Nessus sert à rien (pardon)
o Règles ModSecurity de psycho
o 4j et demi a galérer…et puis…

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 35

 SCENARIO – HUMAN MISTAKES

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 36

 SCENARIO – HUMAN MISTAKES

● SUITE À UN BRUTEFORCE + SCAN VIOLENT, LE SITE NE RÉPOND PLUS TRÈS BIEN

● BAN OU DOS?
o Je teste depuis mon tel en 3G et ca me redirige sur une page à laquelle j’ai accès
- oui je sais j’avais pas testé les user agent mobile, bla, bla :( –

o Enfin un point d’entrée…enfin, y’a pas de 401 ou 403, c’est déjà ca…
o Ca donne pas accès à grand-chose… 3 éléments sur la page, mais un avec une URL
intéressante (c’est un genre de thumbnail)
https://site.client.fr/intranet/jcore/tooltip/ttCard.jsp?ttId=c_123456&ttContext=

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 37

 SCENARIO – HUMAN MISTAKES

● ON DIRAIT QUE CETTE RÉFÉRENCE IDENTIFIE DES FICHIERS :] … ON BF UN PEU ET….

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 38

 SCENARIO – HUMAN MISTAKES

● ON TROUVE DES IDENTIFIANTS, MAIS LE SERVEUR FTP EST VIDE :(

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 39

 SCENARIO – HUMAN MISTAKES

● ON TESTE SUR LES

DIFFÉRENTES APPLIS,
● INTÉRESSANT QUE
POUR L’INTRANET..
● CA TOMBE BIEN C’EST
PLUS PRATIQUE POUR
CHERCHER DES DOCS
TECHNIQUES

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 40

 SCENARIO – HUMAN MISTAKES

● ET LE MOT DE PASSE EST………

● CES IDENTIFIANTS
PERMETTENT D’ACCÉDER AU
WEBMAIL, MAIS PAS À CITRIX :(

● CONTINUONS LES
RECHERCHES:

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 41

 SCENARIO – HUMAN MISTAKES

● ET LE MOT DE PASSE DE USERTEST EST………

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 42

 SCENARIO – HUMAN MISTAKES

● ET USERTEST EST…..
o Utilisateur Citrix (Accès au LAN) o ….qui n’a pas d’AV
o Admin local d’un des bureaux…. o Sur lequel l’admin domaine est
connecté

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 43

 SCENARIO – HUMAN MISTAKES

● RÉCUPÉRATION DU MDP DE L’ADMIN DOMAINE

● REBOND SUR LE DC, DUMP DE HASHES… ETC

PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr 44

 Marion HENNEQUIN
marion.hennequin@opmd.fr
PUBLIC 38 Rue Laffitte - 75009 Paris (+33) 1 83 62 51 79 contact@opmd.fr