Pentesting on Adrián Lois

Shellter y Veil-Evasion: evasión de antivirus ocultando shellcodes

Thu, 16 Jul 2020 13:50:00 +0000

Hay diversas técnicas para establecer una sesión hacia una máquina remota. Una de ellas es la generación de un fichero binario que sea ejecutado por la víctima, este binario tendrá un payload configurado que nos proporcionará una shell remota estableciendo una conexión directa o inversa hacia el equipo de la víctima, consiguiendo así una sesión en el mismo contexto de integridad del usuario que ejecutó el binario.

Se trata de un tipo de ataque client-side donde será el usuario final quien interactúe ejecutando el fichero malicioso. La forma de envío de estos ejecutables hacia la máquina remota sin tener una sesión previa puede ser de muchas formas: En el caso de tener acceso físico a la organización distribuir unidades externas usb con el binario esperando que alguien lo ejecute o envío de emails en el que se adjunte el fichero o un hipervínculo que redirige a una web externa donde se descargará (esto suele ser muy habitual).

Netcat: conexiones directas e inversas, shells y banner grabbing

Mon, 06 Jul 2020 09:31:00 +0000

Netcat es una herramienta de red que permite a través de intérprete de comandos abrir puertos TCP/UDP en un HOST, asociar una shell a un puerto en concreto y forzar conexiones UDP/TCP.

Para ver ejemplos tendremos una máquina Kali (10.0.0.10) con netcat ya instalado y una máquina Windows (10.0.0.19) donde podemos descargar y usar los binarios de netcat para Windows.

Un ejemplo de uso sencillo donde podemos enviarnos información de texto de una máquina a otra como si de un chat se tratara.

Pivoting entre proxys encadenados con Proxychains

Mon, 29 Jun 2020 15:48:00 +0000

Proxychains es una herramienta que actúa como un servidor proxy soportando conexiones TCP en protocolos HTTP, HTTPS, SOCKS4 y SOCKS5. Su principal característica es el encadenamiento de servidores proxy configurados y como redirige estas peticiones de uno a otro.

En una fase de reconocimiento y enumeración hacia un sitio web, dependiendo el caso, intentamos mantener un cierto grado de anonimato ocultando nuestra dirección IP pública. Para ello usamos servidores Proxy o VPN siendo estas más fiables, prácticas y con un mayor nivel de garantía.

Hydra, Medusa y Ncrack: password cracking por fuerza bruta y password spraying

Tue, 23 Jun 2020 16:22:00 +0000

THC-Hydra, Medusa y Ncrack son herramientas para realizar ataques de fuerza bruta a servicios activos cliente/servidor como: ssh, ftp, rdp, smb, mysql, telnet, http, imap, vnc, etc.

Para mostrar el uso de estas herramientas usaré el siguiente escenario de ejemplos. Escaneando con nmap los equipos remotos y puertos empleados para cada tipo de servicio.

nmap -p 21 10.0.0.16      # Windows 7 servicio FTP
nmap -p 3389 10.0.0.16    # Windows 7 servicio RDP
nmap -p 445 10.0.0.16     # Windows 7 servicio SMB/CIFS
nmap -p 22 10.0.0.40      # Linux servicio SSH

Password cracking en hashes Linux (John The Ripper y Hashcat)

Thu, 11 Jun 2020 18:56:00 +0000

En otro artículo comentaré el proceso y técnicas para realizar Passwords cracking de hashes NTLM ntds.dit de Active Directory en sistemas Windows.

En esta ocasión para poder llevar a cabo un ataque por fuerza bruta, diccionario o Rainbow tables a los hashes de contraseñas de sistemas Linux. Es necesario obtener un acceso root para copiar o volcar el contenido de los ficheros /etc/passwd y /etc/shadow.

Si tenemos acceso físico a la máquina o un entorno de hipervisor donde podemos elevarnos a root abriendo una terminal usando Grub, explotar una vulnerabilidad que nos permita conseguir acceso con root o en una fase de post-explotación crear un usuario y hacerlo miembro del grupo sudo o colocarlo en /etc/sudoers.

FakeLogonScreen: phishing de credenciales locales o Active Directory con bloqueo de pantalla falso

Thu, 11 Jun 2020 09:10:00 +0000

FakeLogonScreen es una utilidad desarrollada por @bitsadmin que simula un bloqueo de pantalla de inicio de sesión de Windows 10 falso que se ejecute en el lado del usuario y tiene como finalidad obtener su contraseña de acceso. La contraseña ingresada se valida con Active Directory o la máquina local para asegurarse de que sea correcta.

El usuario y las contraseñas introducidas se envían a la consola (FakeLogonScreen.exe) o se almacenan en un archivo en disco (FakeLogonScreenToFile.exe). Si el usuario configura un fondo personalizado, muestra ese fondo en lugar del predeterminado.

Herramientas para enumeración pasiva de subdominios (OSINT)

Thu, 21 May 2020 19:24:00 +0000

En un proceso de pentesting de auditoría de caja negra (black box) en un principio no tenemos ningún conocimiento de la infraestructura de servidores y comunicaciones de la organización que vamos a auditar. Nos encontramos en una fase de recopilación de información y escaneo de los activos de la compañía públicos en Internet.

Lo habitual es usar footprinting con recursos web, técnicas de recopilación y análisis OSINT (Open Source Intelligence) intentando obtener la mayor cantidad de información posible y que nos pueda ser de utilidad para avanzar a una fase de enumeración de los sistemas “vivos”.

Fingerprinting con PowerShell + exfiltración a FTP (Vídeo PoC)

Fri, 08 May 2020 09:51:00 +0000

En un pentesting interno a sistemas, después de la fase de enumeración y poder comprometer una máquina Windows, es fundamental intentar recopilar la máxima información posible sobre dicha máquina, lo que se conoce como la fase de fingerprinting dentro de una post-explotación.

El uso de Powershell nos ayuda principalmente en las fases de post-explotación y fingerprinting para la recolección de información del sistema, usuarios y grupos locales, parches instalados, procesos en ejecución, servicios activos, etc.

sshuttle: Múltiples túneles SSH y VPN (Proxy transparente)

Thu, 02 Apr 2020 07:30:00 +0000

sshuttle. Se trata de un cliente SSH desarrollado en python que actúa como un proxy transparente funcionando como una VPN. No se trata de una VPN como definición, sshuttle crea de forma automática distintas reglas usando pfctl (pf - Packet Filter) o en su defecto iptables para un múltiple reenvío de puertos a través de una conexión tunelizada vía SSH.

Ya comenté las diferencias entre los distintos tipos de túneles SSH. Esta aplicación nos abstrae de los detalles de realizar manualmente cada reenvío -port forwarding- a cada IP/Puerto hacia la red remota a la que queremos acceder.

Post-explotación: movimiento lateral con Pass-the-Hash (PtH)

Thu, 19 Mar 2020 11:25:00 +0000

En las fases de explotación de un pentest interno y dando continuidad al artículo de Explotación local: Escalada de privilegios de 0 a SYSTEM con Metasploit. Hoy quiero comentar diversas técnicas que se pueden emplear para realizar movimiento lateral o también conocido como Pass the hash (PtH).

¿Qué es un movimiento lateral usando técnicas Pass the hash? Link to heading

Movimiento lateral (pivoting) usando Pass the hash es una de las técnicas empleadas para pivotar de una máquina a otra. Una vez que se ha comprometido una máquina, hemos escalado privilegios y conseguimos realizar un volcado de hashes. Podemos utilizar estos hashes para autenticarse en otra máquina que tenga las mismas credenciales que la máquina origen.

Explotación local: escalada de privilegios de 0 a SYSTEM con Metasploit

Thu, 12 Mar 2020 19:47:00 +0000

A diferencia de la explotación directa o intrusión directa y client-side donde el objetivo es la ejecución de código en una máquina remota con la finalidad de comprometer su seguridad y conseguir una conexión hacia dicha máquina.

En el contexto de Metasploit la explotación local tiene como objetivo el movimiento vertical que será la elevación o escalada de privilegios en una sesión previamente establecida en una máquina remota o directamente tenemos acceso físico a la máquina.

Pivoting con Metasploit: route, portfwd y portproxy

Tue, 07 Jan 2020 17:21:00 +0000

En las primeras fases de escaneo de un pentesting debemos intentar recopilar la mayor cantidad de información posible sobre las redes internas disponibles en la empresa.

Muchas organizaciones dividen sus departamentos en segmentos de red o redes locales virtuales (VLANs), donde se alojan determinadas máquinas, en muchos casos los equipos que forman parte de una red tienen configuradas varias interfaces ya sean físicas o lógicas hacia estas otras redes.

En este tipo de circunstancias podemos aprovecharnos de esto para pivotar entre equipos de distintas redes y poder encontrar uno o varios equipos ya sean clientes o servidores con posibles vulnerabilidades explotables.

Password cracking de hashes NTLM (ntds.dit) en Active Directory

Sat, 16 Nov 2019 08:00:00 +0000

Antes de empezar con la parte práctica de password cracking en sistemas Windows, es recomendable un breve resumen sobre las diferencias entre los tipos de hashes de contraseñas (LM, NTHash o NTLM, NTLMv1, NTLMv2) que almacena Windows en su base de datos local SAM (Security Account Manager) o NTDS.DIT (NT Directory Services) si se trata de controladores de dominio de Active Directory.

Existen dos medios de los cuales se puede realizar la extracción de hashes:

nping: Aplicando Reverse ARP de forma práctica (RARP)

Mon, 29 Jul 2019 13:47:00 +0000

Este es un pequeño tip de cómo se puede realizar de forma práctica un RARP (Reverse Address Resolution Protocol). Conociendo una dirección MAC y un rango de red específico, realizar peticiones ICMP (ping) de forma automática a un pool de direcciones de red para posteriormente consultar las tablas ARP y descubrir la dirección IP asignada.

Del software nmap podemos hacer uso del script nping para poder escanear un rango de red determinado de forma automática y listar la tabla ARP local redireccionando la salida a un filtro por la dirección o direcciones MAC que queremos descubrir su IP.

Plink SSH: auto-aceptar hostkey al crear túnel local port forwarding

Sat, 16 Feb 2019 20:30:00 +0000

Hostkey o fingerprint SSH

Cuando nos conectamos a través de un cliente SSH como PuTTY, por primera vez en una conexión se nos mostrará una alerta de seguridad indicando que el host key no está cacheado en el registro, no es más que la huella digital o fingerprint de la máquina remota a la que nos conectamos usado como método de confianza para garantizar la autenticidad de la máquina remota.

Esta host key al no estar registrada o cacheada por la máquina cliente que establece la conexión por primera vez, nos alerta de que no hay garantía de que el servidor remoto sea quien creemos que es.

Túnel SSH Port Forwarding: Local, Remote y Dynamic [Explicado]

Wed, 30 Jan 2019 20:30:00 +0000

¿Qué es SSH? Link to heading

SSH (Secure Shell) es un protocolo de comunicaciones seguras entre dos sistemas usando una arquitectura cliente/servidor que permite a los usuarios conectarse a un host remotamente para su posterior administración.

A diferencia de otros protocolos de comunicación remota como FTP o Telnet (Telecommunication Network), SSH cifra la sesión de conexión y la comunicación ofreciendo también una infraestructura de autenticación PKI (Public Key Infrastructure) para la conexión con el host remoto.

Seguridad Wi-Fi: fuerza bruta al sistema WPA (Wi-Fi Protected Access)

Wed, 15 Aug 2018 08:00:00 +0000

Actualmente ya hay suficiente información sobre este tipo de técnicas de ataque para comprometer la seguridad de redes WPA.

Recientemente he tenido que realizar una auditoría a redes Wi-Fi y revisando entradas del blog aún no había comentado nada sobre esto por lo que a modo de guía comentaré el procedimiento habitual en un conocido y funcional ataque de deautenticación (Wi-Fi deauth attack) donde habrá que desconectar a un cliente previamente conectado a la red que vamos a realizar el ataque, capturar el WPA handshake y finalmente aplicar fuerza bruta al fichero de captura de tráfico .cap obtenido.

Túnel SSH con PuTTY para RDP (local port forwarding)

Wed, 01 Aug 2018 19:57:00 +0000

Un túnel SSH se utiliza principalmente para tunelizar tráfico sobre internet o sobre una red local de una manera segura. Podemos encapsular un tipo de protocolo sobre una conexión establecida SSH (Secure SHell).

Supongamos que nos queremos conectar a un servidor interno de una red local a través de Internet, pero el firewall de la compañía restringe las conexiones origen dirigidas a determinados puertos, entre ellos el 3389 (puerto por defecto usado para RDP), sin embargo si permite conexiones al puerto 22 (puerto por defecto para SSH).

Volcado de hashes NTLM y contraseñas en plano con Mimikatz

Fri, 08 Jun 2018 19:30:00 +0000

Mimikatz es una herramienta archiconocida de cracking que nos permitirá la obtención de contraseñas de usuarios de un sistema. Nos volcará (dumping) las contraseñas en texto plano y los hashes de la SAM (Security Account Manager).

Hay mucha información al respecto sobre esta tool y como sacarle un buen partido. Más info: https://adsecurity.org/?page_id=1821

De todos modos, no había hablado de ella hasta ahora. Recientemente tuve que hacer uso de ella para conocer la password de unos usuarios locales creados en un sistema. Comprobé que aún seguía funcionando para Windows 10 como lo hacía para Windows 7 ya que el desarrollador fue actualizando esta herramienta.

Nmap dhcp-discover: descubrir servidores DHCP en una red

Mon, 07 May 2018 20:30:00 +0000

El protocolo de red DHCP (Dynamic Host Configuration Protocol) permite la asignación de configuración IP, como mínimo la dirección IP y máscara de red, en una arquitectura cliente/servidor. Si un equipo cliente tiene una configuración en su interface de red en modo automático, el cliente solicita una configuración IP de red si existe un servidor DHCP en la misma red este ofrece asignando una configuración de direccionamiento IP en el cliente que realizó la solicitud.

Fuerza bruta en ficheros .kdbx de KeePassX

Sat, 29 Jul 2017 11:42:00 +0000

KeePassX es una aplicación para la gestión de contraseñas. Es una derivación de KeePass Password Safe pero en su versión GNU GPL. Creando un nuevo almacén (fichero base de datos), al que vincularemos con una contraseña maestra, podemos guardar usuarios y contraseñas asociadas a determinados servicios, estos “almacenes” se guardan en un fichero .kdbx en el caso de KeePassX y ficheros .kdb en el caso de KeePass. De este modo con acordarnos de una única contraseña tendremos acceso a las demás.

Restablecer password de root y bypass login Linux: shell con GRUB y cómo evitarlo

Tue, 10 May 2016 10:49:00 +0000

Me he dado cuenta de que no tenía ninguna publicación al respecto sobre esto. Se trata de un viejo trick ya conocido por la comunidad, hace un tiempo ya publicara algo similar, pero en esta ocasión lo comento en más detalle y el cómo protegerse de este tipo de técnica de bypass login en sistemas Linux.

Si tenemos acceso físico a la máquina o al hipervisor de una máquina virtual Linux, para poder restablecer la password de root, dejarla en blanco o cualquier otra acción privilegiada como acceder a los volúmenes del sistema para realizar un volcado o copia de los ficheros /etc/passwd y /etc/shadow con el fin de realizar un cracking de contraseñas por fuerza bruta a sus hashes, es aprovechar un pequeño hack -si se puede llamar así- usando el gestor de arranque múltiple GNU Grub (multiboot boot loader).

Capturar tráfico remoto en Wireshark con rpcapd

Fri, 01 Jun 2012 12:33:00 +0000

Si estamos en una red local y queremos capturar y analizar todo el tráfico de datos que vaya dirigido a otro equipo de nuestra red, lo podremos hacer de manera remota. Con la utilidad de rpcapd.exe que está incorporado en las librerías de WinPcap y que nos permitirá capturar tráfico remoto que vayan dirigidos a otros hosts de la red.

Lo primero que hay que hacer es instalar WinPcap en el equipo remoto. Desgraciadamente no existe una forma “silenciosa” para instalar esto de forma subyacente al usuario final. Desde la web oficial los desarrolladores comentan que no habrá opción para esta tarea por problemas de compatibilidades de software. Por lo que tendremos que instalarlo manualmente en el equipo remoto con la GUI de instalación de WinPcap.

DNS Cache Snooping con nslookup: qué webs visita una organización

Sun, 29 Apr 2012 21:49:00 +0000

nslookup (Name System Lookup) podemos saber qué organizaciones tienen configurado un name server (ns) y qué páginas web visitan sus usuarios consultando de forma no recursiva la caché DNS del servidor de nombres.

Cuando un usuario desde su máquina quiere resolver un nombre de dominio mediante una petición DNS, éste pregunta al servidor DNS que tiene configurado. Si este tiene activada la caché, la busca y devuelve la consulta a la máquina del usuario, si el servidor no la tiene disponible en su caché DNS, que por defecto la almacena con un TTL (Time to live o Tiempo de vida) de unos 3.600 segundos (1 hora) aunque este tiempo es configurable en la administración del servidor DNS.

Firesheep: hijacking de sesiones de usuario

Fri, 05 Nov 2010 19:05:00 +0000

Firesheep es una herramienta que podría ser utilizada para robar identidades según las propias palabras de su autor Codebutler. La herramienta, que fue presentada en la última Toorcon 12 en San Diego, permite capturar tráfico de una gran cantidad de sitios web que envían los datos sin cifrar.

Una vez instalada la extensión en Firefox (Mac OS y Windows, ya que por el momento no dispone de una versión para SO Linux), Firesheep permite el robo de credenciales de los siguientes sitios, en los que podemos ver en la captura, que nos deja Segu-Info:

Eliminar la password de la BIOS

Mon, 13 Sep 2010 18:05:00 +0000

Si queremos acceder a un equipo y dicho equipo tiene una contraseña en la BIOS, no vamos a poder entrar a ella y su configuración.

Para ello podemos utilizar determinados métodos, para borrar dicha password de la BIOS:

Una de las tantas utilidades de las que dispone Hiren’s BOOT CD. (Actualizo este post a fecha de Enero de 2016 con la nueva versión de Hiren’s BOOTCD). Esto es ideal para cuando podemos bootear un LiveCD a través del “Menú BOOT” y que este no nos solicite credenciales para poder hacer bootstrap a dispositivos externos.

Dentro de las opciones “BIOS/CMOS Tools” tendremos un conjunto de herramientas, entre ellas: BIOS Cracker y Kill CMOS.