NTLM on Adrián Lois

Post-explotación: movimiento lateral con Pass-the-Hash (PtH)

Thu, 19 Mar 2020 11:25:00 +0000

En las fases de explotación de un pentest interno y dando continuidad al artículo de Explotación local: Escalada de privilegios de 0 a SYSTEM con Metasploit. Hoy quiero comentar diversas técnicas que se pueden emplear para realizar movimiento lateral o también conocido como Pass the hash (PtH).

¿Qué es un movimiento lateral usando técnicas Pass the hash? Link to heading

Movimiento lateral (pivoting) usando Pass the hash es una de las técnicas empleadas para pivotar de una máquina a otra. Una vez que se ha comprometido una máquina, hemos escalado privilegios y conseguimos realizar un volcado de hashes. Podemos utilizar estos hashes para autenticarse en otra máquina que tenga las mismas credenciales que la máquina origen.

Password cracking de hashes NTLM (ntds.dit) en Active Directory

Sat, 16 Nov 2019 08:00:00 +0000

Antes de empezar con la parte práctica de password cracking en sistemas Windows, es recomendable un breve resumen sobre las diferencias entre los tipos de hashes de contraseñas (LM, NTHash o NTLM, NTLMv1, NTLMv2) que almacena Windows en su base de datos local SAM (Security Account Manager) o NTDS.DIT (NT Directory Services) si se trata de controladores de dominio de Active Directory.

Existen dos medios de los cuales se puede realizar la extracción de hashes:

Volcado de hashes NTLM y contraseñas en plano con Mimikatz

Fri, 08 Jun 2018 19:30:00 +0000

Mimikatz es una herramienta archiconocida de cracking que nos permitirá la obtención de contraseñas de usuarios de un sistema. Nos volcará (dumping) las contraseñas en texto plano y los hashes de la SAM (Security Account Manager).

Hay mucha información al respecto sobre esta tool y como sacarle un buen partido. Más info: https://adsecurity.org/?page_id=1821

De todos modos, no había hablado de ella hasta ahora. Recientemente tuve que hacer uso de ella para conocer la password de unos usuarios locales creados en un sistema. Comprobé que aún seguía funcionando para Windows 10 como lo hacía para Windows 7 ya que el desarrollador fue actualizando esta herramienta.

Hot Potato: Elevación de privilegios en Windows

Tue, 19 Jan 2016 02:22:00 +0000

El equipo de Foxglovesecurity.com hace pocos días ha publicado en su blog un exploit el cual desde un usuario de nivel bajo puede elevar sus privilegios dentro de un sistema hasta el nivel más alto. Haciendo uso de una pequeña herramienta de comandos que estos denominaron como “Hot Potato”.

Esto es posible debido a unos fallos de diseño de Windows que no están bien gestionados en el que se realizan tres ataques en uno. NBNS Spoofing (NetBios sobre TCP/IP o NetBios Name Service), WPAD (Web Proxy Autodiscovery Protocol) y HTTP > SMB NTLM Relay (autenticación NTLM de HTTP a SMB). Siendo posible que un usuario sin privilegios consiga una escalada de privilegios y obtenga el nivel de acceso “NT AUTHORITY\SYSTEM”.