ביצוע Recon מול SharePoint

ארגונים רבים משתמשים בדרך כזאת או אחרת בשירות SharePoint Online או לחלופין בשרת SharePoint Server כלשהוא, בין אם זה לצורך שימוש פנימי או עבודה מול לקוחות, ספקים וכן הלאה.

אפילו במצבים של שימוש פנימי אפשר לראות פעולות שונות של שיתופים בהרשאה מסוימת מול גורמים חיצוניים, האם ידוע לך ממי משתף מידע ומהו התוכן המשותף? ברוב המקרים לא ידוע.

אז עוד לפני שמתשפים מידע ותכן מול גורם חיצוני צריך לשאול את השאלה הכל כך חשובה, האם הפלטפורמת SharePoint הארגונית מוקשחת? האם היא מאובטחת ואינה מאפשרת גישה חיצונית לא מורשית? סביר להניח שלא או לפחות כך המצב ברוב הארגונים. גרוע ארגונים לא מיודעים על כך ולכן הכל נשאר פתוח.

כמו כל אפליקציית WEB גם SharePoint נופל בקטגוריה של חולשות מוכרות וחלק מתוך OWASP, עם התמקדות על XSS והסיבה העיקרית לכך היא עדכונים קריטיים שאינם נמצאים במערכת או הגדרה לא נכונה ברמת הרכיב.

איך מתחילים לבצע בדיקות אבטחה מול SharePoint ארגוני, כמו כל תרחיש KillChain, מתחילים עם שלב איסוף המידע Reconsasainse.

ישנם כל כך הרבה כלים לבצע Recon לאתרי SharePoint והכלי המועדף עליי הוא Kali, אבל דווקא במאמר זה נתחיל לבצע Recon עם Google Dorks.

הדבר הכי מפליא בכל הענין של איסוף מידע עם Google Dorks הוא שישנם כל כך הרבה אתרים פתוחים עם מידע פנימי ובמקרים מסוימים מידע של לקוחות עם תוכן רגיש.

בכדי להתחיל לבצע איסוף מידע ולדעת מה אנו רוצים לחפש, חייבים לדעת קודם כל איך בנוי SharePoint כי ישנם המון נקודות שבהם ניתן לחפש ולמצוא את האוצר.

במאמר הנוכחי לא נבצע Drill down לארכיטקטורה של SharePoint אלא נקח מספר נקודות שאותם נחפש ומשם נוכל לאסוף מידע.

לפני כן כמה מילים על Google Dorks שהוא למעשה בנוי על מנוע החיפוש של Google ומאפשר לנו למצוא מידע רב כגון: חולשות, מידע מוסתר ופרצות באתרים שונים.

Google Dorks הוא למעשה Google Hacking ולא מדובר על משהו חדש כלל, זה נמצא אתינו מספר שנים.

כאשר משתמשים בדורק עצמו אנו למעשה עובדים עם מגוון פקודות הממקדות את החיפוש ומניבות תוצאות מדויקות להפליא, דוגמה פשוטה היא חיפוש קבצים מסוימים, במקרה כזה נוסיף בשורת חיפוש filetype:doc ונמצא את כל הקבצים עם סיומת doc שניתנים להורדה.

אם נקח לדוגמה את הפקודה הבאה intitle:index.of id_rsa -id_rsa.pub שיכולה לחפש מידע מסוג SSH Private Key, או למשל את הפקודה הבאה inurl:bc.googleusercontent.com intitle:index of שמחפשת תיקיות רגישות.

ביצוע Recon מול אתרי SharePoint

בכדי לבצע Recon מול אתרי SharePoint (מקומי עו בענן) יש לעבוד עם הפקודות הבאות:

• פרמטר חיפוש > inurl:
• המידע שנרצה לחפש > _layouts/15/people.aspx

לאחר קבלת תוצאות שחלקן מטרידות ניתן רק לחפש את המטרה, ובאחת הדוגמאות הראשונות ניתן למצוא רשימת משתמשים כולל אפשרות להיכנס פנימה למידע נוסף, ושימו לב שאחד מהם הוא Domain Admins.

בין אם רק מתחילים לאסוף מידע או שלעיתים מסוימות המידע הזה מספיק, יש לי כבר מידע לגבי Domain Admin עם פרטים מלאים וכל מה שנשאר לי לעשות הוא infiltration.

רשימות ומיקומים של SharePoint

מצורפת רשימה חלקית וקטנה של מיקומי SharePoint

Site collection level recycle bin: /_layouts/15/AdminRecycleBin.aspx
Site level recycle bin /_layouts/RecycleBin.aspx
Recreate default site sp groups _layouts/15/permsetup.aspx
Load document tab initial ?InitialTabId=Ribbon.Document
Display list in grid view ?ShowInGrid=True
Quick Launch settings page /_layouts/quiklnch.aspx
Navigation Settings page /_layouts/15/AreaNavigationSettings.aspx
Sandboxed Solution Gallery /_catalogs/solutions/Forms/AllItems.aspx
Get the version of the SharePoint /_vti_pvt/Service.cnf
User Information List  _catalogs/users or _catalogs/users/simple.aspx

הרשימה המלאה של מיקומי SharePoint זמינה באתר eshlomo.us ומכילה מעל 100 רשימות שונות שבהן ניתן להשתמש בכדי לבצע לאסוף מידע.

חשוב להדגיש שבכדי לאסוף מידע מתוך SahrePoint חשוב לדעת איך בנויה הארכיטקטורה, מהם הרכיבים וכן הלאה. וזאת בגלל הסיבה שגם כאשר מוצאי םמידע צריך לדעת איך לגשת ליתר המידע ולקישורים הפנימיים של SharePoint.

המיקומים של SharePoint מחולקים למספר קטגוריות:

• Administrative
• Fomrs
• Galleries
• Help Pages
• Lists
• Login
• LookNFeel
• Other
• UsersGroups
• WebParts
• WebServices

דוגמאות נוספות לאיסוף מידע שעמם ניתן לעבוד הם:

• רשימות המכילות מידע של משתמשים inurl:/_layouts/mobile/view.aspx?List=
• רשימות המכילות הגדרות inurl:/_layouts/settings

לסיכום

איסוף מידע מול SharePoint אינו חייב להתבצע עם כלים וניתן למצוא מידע בעל ערך באמצעות Google Hacking, ורק לאחר שמוצאים מידע ניתן לעבוד עם כלים נוספים בכדי למצוא מידע נוסף אודות האתר או בכדי להבין מהיכן הבעיה נובעת.

בנימה זאת חשוב לציין כי SharePoint הוא חלומו של כל צוות אדום בגלל שמערכות SharePoint רבות אינן מוקשחות אפילו לא בבסיסן ולכן קל מאוד למצוא מידע ובמקרים מסוימים גם לבצע פעולות תקיפה חמורות יותר.

מדגיש שוב כי זאת דרך אחת מיני רבות בביצוע recon מול SharePoint.