Post-Explotación on Adrián Lois

KrbRelayUp PrivEsc: escalada de privilegios en AD y mitigación

Wed, 11 May 2022 21:40:00 +0000

KrbRelayUp es una herramienta que nos permite en una post-explotación la escalada de privilegios locales en máquinas unidas a un dominio Active Directory y persistencia para realizar este privesc en cualquier máquina del dominio a través de movimientos laterales hasta llegar a la máquina objetivo, de ahí su criticidad y riesgo alto.

No se trata de una vulnerabilidad en sí con un CVE asignado, sino del aprovechamiento de un fallo de configuración por defecto de Windows por parte de los controladores de dominio.

Netcat: conexiones directas e inversas, shells y banner grabbing

Mon, 06 Jul 2020 09:31:00 +0000

Netcat es una herramienta de red que permite a través de intérprete de comandos abrir puertos TCP/UDP en un HOST, asociar una shell a un puerto en concreto y forzar conexiones UDP/TCP.

Para ver ejemplos tendremos una máquina Kali (10.0.0.10) con netcat ya instalado y una máquina Windows (10.0.0.19) donde podemos descargar y usar los binarios de netcat para Windows.

Un ejemplo de uso sencillo donde podemos enviarnos información de texto de una máquina a otra como si de un chat se tratara.

Password cracking en hashes Linux (John The Ripper y Hashcat)

Thu, 11 Jun 2020 18:56:00 +0000

En otro artículo comentaré el proceso y técnicas para realizar Passwords cracking de hashes NTLM ntds.dit de Active Directory en sistemas Windows.

En esta ocasión para poder llevar a cabo un ataque por fuerza bruta, diccionario o Rainbow tables a los hashes de contraseñas de sistemas Linux. Es necesario obtener un acceso root para copiar o volcar el contenido de los ficheros /etc/passwd y /etc/shadow.

Si tenemos acceso físico a la máquina o un entorno de hipervisor donde podemos elevarnos a root abriendo una terminal usando Grub, explotar una vulnerabilidad que nos permita conseguir acceso con root o en una fase de post-explotación crear un usuario y hacerlo miembro del grupo sudo o colocarlo en /etc/sudoers.

FakeLogonScreen: phishing de credenciales locales o Active Directory con bloqueo de pantalla falso

Thu, 11 Jun 2020 09:10:00 +0000

FakeLogonScreen es una utilidad desarrollada por @bitsadmin que simula un bloqueo de pantalla de inicio de sesión de Windows 10 falso que se ejecute en el lado del usuario y tiene como finalidad obtener su contraseña de acceso. La contraseña ingresada se valida con Active Directory o la máquina local para asegurarse de que sea correcta.

El usuario y las contraseñas introducidas se envían a la consola (FakeLogonScreen.exe) o se almacenan en un archivo en disco (FakeLogonScreenToFile.exe). Si el usuario configura un fondo personalizado, muestra ese fondo en lugar del predeterminado.

Bypass UAC: DLL injection en taskmgr.exe + fileless eventvwr.exe (PoC)

Thu, 14 May 2020 16:27:00 +0000

En un artículo anterior hablé de un bypass fileless en el binario sdclt.exe, también comenté la posibilidad de realizar este método al binario eventvwr.exe. En esta ocasión mostraré como realizar un bypass de UAC usando un DLL Injection aprovechando un método tipo fileless.

Bypass UAC tipo DLL Hijacking Link to heading

Existen varios tipos de técnicas DLL Hijacking (sideloading, proxying, phantom), la finalidad es conseguir una escalada de privilegios o persistencia en un sistema. Consiste en hacer un “secuestro” de una DLL por la suplantación de otra DLL que ejecute un código arbitrario que le interese a un atacante.

Fingerprinting con PowerShell + exfiltración a FTP (Vídeo PoC)

Fri, 08 May 2020 09:51:00 +0000

En un pentesting interno a sistemas, después de la fase de enumeración y poder comprometer una máquina Windows, es fundamental intentar recopilar la máxima información posible sobre dicha máquina, lo que se conoce como la fase de fingerprinting dentro de una post-explotación.

El uso de Powershell nos ayuda principalmente en las fases de post-explotación y fingerprinting para la recolección de información del sistema, usuarios y grupos locales, parches instalados, procesos en ejecución, servicios activos, etc.

Bypass UAC Fileless usando AppPaths sdclt.exe

Thu, 30 Apr 2020 13:54:00 +0000

La idea de los bypass de UAC (User Account Control) tipo fileless es detectar binarios de Windows firmados por Microsoft y que tienen el atributo autoElevate a true de su manifest. Con una política por defecto de UAC en Windows, estos binarios se ejecutan en un contexto de integridad alto, interactuando con el registro no encuentran las claves en la rama HKCU.

Cuando en la consulta se obtiene un resultado NAME NOT FOUND y esta se hace antes de que se ejecute el propio binario, se podría escribir en esa rama HKCU en la que si tendremos permisos haciendo referencia a la invocación de otro binario como por ejemplo un cmd.exe. Esto provocará que este cmd.exe se ejecute antes y de forma privilegiada logrando así el bypass del UAC.

Post-explotación: movimiento lateral con Pass-the-Hash (PtH)

Thu, 19 Mar 2020 11:25:00 +0000

En las fases de explotación de un pentest interno y dando continuidad al artículo de Explotación local: Escalada de privilegios de 0 a SYSTEM con Metasploit. Hoy quiero comentar diversas técnicas que se pueden emplear para realizar movimiento lateral o también conocido como Pass the hash (PtH).

¿Qué es un movimiento lateral usando técnicas Pass the hash? Link to heading

Movimiento lateral (pivoting) usando Pass the hash es una de las técnicas empleadas para pivotar de una máquina a otra. Una vez que se ha comprometido una máquina, hemos escalado privilegios y conseguimos realizar un volcado de hashes. Podemos utilizar estos hashes para autenticarse en otra máquina que tenga las mismas credenciales que la máquina origen.

Explotación local: escalada de privilegios de 0 a SYSTEM con Metasploit

Thu, 12 Mar 2020 19:47:00 +0000

A diferencia de la explotación directa o intrusión directa y client-side donde el objetivo es la ejecución de código en una máquina remota con la finalidad de comprometer su seguridad y conseguir una conexión hacia dicha máquina.

En el contexto de Metasploit la explotación local tiene como objetivo el movimiento vertical que será la elevación o escalada de privilegios en una sesión previamente establecida en una máquina remota o directamente tenemos acceso físico a la máquina.

Pivoting con Metasploit: route, portfwd y portproxy

Tue, 07 Jan 2020 17:21:00 +0000

En las primeras fases de escaneo de un pentesting debemos intentar recopilar la mayor cantidad de información posible sobre las redes internas disponibles en la empresa.

Muchas organizaciones dividen sus departamentos en segmentos de red o redes locales virtuales (VLANs), donde se alojan determinadas máquinas, en muchos casos los equipos que forman parte de una red tienen configuradas varias interfaces ya sean físicas o lógicas hacia estas otras redes.

En este tipo de circunstancias podemos aprovecharnos de esto para pivotar entre equipos de distintas redes y poder encontrar uno o varios equipos ya sean clientes o servidores con posibles vulnerabilidades explotables.

Password cracking de hashes NTLM (ntds.dit) en Active Directory

Sat, 16 Nov 2019 08:00:00 +0000

Antes de empezar con la parte práctica de password cracking en sistemas Windows, es recomendable un breve resumen sobre las diferencias entre los tipos de hashes de contraseñas (LM, NTHash o NTLM, NTLMv1, NTLMv2) que almacena Windows en su base de datos local SAM (Security Account Manager) o NTDS.DIT (NT Directory Services) si se trata de controladores de dominio de Active Directory.

Existen dos medios de los cuales se puede realizar la extracción de hashes:

WMIC en equipos remotos: Windows Management Instrumentation

Tue, 15 Jan 2019 20:00:00 +0000

Si nos surgen problemas para la ejecución de sentencias WMIC en máquinas o nodos remotos, mostraré los errores más comunes y como solucionarlos.

Un error puede ser que no estén habilitadas las llamadas a procedimientos remotos (RPC).

Error:
Descripción = El servidor RPC no está disponible.

Figura 1: Error - “El servidor RPC no está disponible” (wmic).

Otro error común podría ser la falta de permisos para ejecutar WMIC en nodos remotos.

Gestión y recuperación de credenciales almacenadas en Windows

Fri, 12 Oct 2018 10:57:00 +0000

Siguiente artículo relacionado:

Credenciales almacenadas en caché en RDP: Comportamiento por defecto, riesgos de seguridad y mitigación

Existen varias formas de poder visualizar las credenciales dominio\usuario y password de los recursos de red almacenados, servicios de RDP entre otro tipo de credenciales almacenadas de Windows.

Para que este almacenamiento sea posible debemos tener habilitado y en ejecución (por defecto ya suele estarlo) el servicio de “Administrador de credenciales” (VaultSvc) que proporciona el almacenamiento seguro y recuperación de credenciales de usuarios.

Ver passwords Wi-Fi almacenadas en Windows (netsh wlan)

Wed, 11 Jul 2018 19:30:00 +0000

Cada vez que desde nuestro equipo Windows nos conectamos a una red inalámbrica WiFi y recordamos la password de identificación de la red, esta se almacena en el sistema.

Con el uso de la utilidad de comandos netsh (en la sección de wlan) podemos visualizar las redes que tenemos almacenadas y también la password de acceso que en su momento le indicáramos para autenticarnos en dicha red.

Visualizar los nombres de las redes almacenadas por Windows en el equipo.

Exportar certificados no-exportables a PFX (PKCS #12) con Jailbreak y Mimikatz

Wed, 04 Jul 2018 19:30:00 +0000

En el momento de importar un certificado digital, ya sea para el usuario actual (certmgmt.msc) como para el equipo (certlm.msc), tenemos la opción de establecer dicho certificado como exportable. Esto nos permite exportar el certificado (clave pública) con la clave privada en un mismo fichero en formato pfx.

Más información sobre algunos tipos de formatos de certificados.

Figura 1: Checkbox “Marcar clave como exportable” al importar un certificado digital.

Volcado de hashes NTLM y contraseñas en plano con Mimikatz

Fri, 08 Jun 2018 19:30:00 +0000

Mimikatz es una herramienta archiconocida de cracking que nos permitirá la obtención de contraseñas de usuarios de un sistema. Nos volcará (dumping) las contraseñas en texto plano y los hashes de la SAM (Security Account Manager).

Hay mucha información al respecto sobre esta tool y como sacarle un buen partido. Más info: https://adsecurity.org/?page_id=1821

De todos modos, no había hablado de ella hasta ahora. Recientemente tuve que hacer uso de ella para conocer la password de unos usuarios locales creados en un sistema. Comprobé que aún seguía funcionando para Windows 10 como lo hacía para Windows 7 ya que el desarrollador fue actualizando esta herramienta.

Permitir ejecuciones remotas con cualquier usuario en C$ (LocalAccountTokenFilterPolicy)

Sat, 25 Jun 2016 11:33:00 +0000

En Windows existen ciertos recursos compartidos establecidos por defecto con intenciones administrativas. Entre ellos está el conocido C$ (C dolar, el símbolo “$” indica que se trata de un recurso que el sistema mantiene “oculto”), que seguramente muchos usaríamos para poder conectarnos al equipo remoto de una red de forma subyacente al usuario de ese equipo, básicamente tener acceso a su disco del sistema C: (letra de unidad asignada por defecto en sistemas Windows).

Restablecer password de root y bypass login Linux: shell con GRUB y cómo evitarlo

Tue, 10 May 2016 10:49:00 +0000

Me he dado cuenta de que no tenía ninguna publicación al respecto sobre esto. Se trata de un viejo trick ya conocido por la comunidad, hace un tiempo ya publicara algo similar, pero en esta ocasión lo comento en más detalle y el cómo protegerse de este tipo de técnica de bypass login en sistemas Linux.

Si tenemos acceso físico a la máquina o al hipervisor de una máquina virtual Linux, para poder restablecer la password de root, dejarla en blanco o cualquier otra acción privilegiada como acceder a los volúmenes del sistema para realizar un volcado o copia de los ficheros /etc/passwd y /etc/shadow con el fin de realizar un cracking de contraseñas por fuerza bruta a sus hashes, es aprovechar un pequeño hack -si se puede llamar así- usando el gestor de arranque múltiple GNU Grub (multiboot boot loader).

Hot Potato: Elevación de privilegios en Windows

Tue, 19 Jan 2016 02:22:00 +0000

El equipo de Foxglovesecurity.com hace pocos días ha publicado en su blog un exploit el cual desde un usuario de nivel bajo puede elevar sus privilegios dentro de un sistema hasta el nivel más alto. Haciendo uso de una pequeña herramienta de comandos que estos denominaron como “Hot Potato”.

Esto es posible debido a unos fallos de diseño de Windows que no están bien gestionados en el que se realizan tres ataques en uno. NBNS Spoofing (NetBios sobre TCP/IP o NetBios Name Service), WPAD (Web Proxy Autodiscovery Protocol) y HTTP > SMB NTLM Relay (autenticación NTLM de HTTP a SMB). Siendo posible que un usuario sin privilegios consiga una escalada de privilegios y obtenga el nivel de acceso “NT AUTHORITY\SYSTEM”.

Iniciar aplicaciones antes de la carga de perfiles de usuario

Sun, 23 Aug 2015 22:33:00 +0000

Si queremos iniciar una determinada aplicación en background antes de la carga de cualquier perfil de usuario, de modo que ya esté disponible cuando encendamos el equipo y nos aparezca la pantalla de bienvenida de Windows sin necesidad de iniciar sesión en la máquina local.

Vector clásico de persistencia
Modificar HKLM\...\Winlogon\Userinit es una técnica documentada de persistencia (MITRE ATT&CK T1547.004). Cualquier alteración será marcada por EDR/AV maduros y queda en logs forenses. Si lo usas como administrador legítimo, documenta el binario añadido y notifica al equipo de seguridad para evitar incidentes.

Cambiar IP remotamente de forma subyacente con PsExec

Wed, 19 Mar 2014 11:30:00 +0000

Ya hablé del conjunto de herramientas que componen el paquete PsTools desarrolladas por Mark Russinovich (Sysinternals), las cuales nos permiten entre otras cosas realizar administraciones a equipos remotos de una red.

En esta ocasión haré uso de una de estas herramientas. PsExec la cual nos permite ejecutar procesos de un equipo remoto. Por ejemplo; realizar comandos en una shell remota, estos comandos NO se verán remotamente, es decir, que se hace transparente al usuario final y/o remoto.

Crear servicios en Windows con sc (Service Controller)

Mon, 26 Aug 2013 07:43:00 +0000

Esta vez comentaré al igual que una de las últimas entradas en las que decía cómo crear servicios de Windows con Process Hacker, pero esta vez mostraré como hacerlo con una propia herramienta de Windows, la cual es mediante el uso del comando sc.exe (Service Controller) a través de la consola de comandos.

La estructura del comando sería del siguiente modo:

sc create [nombreDeServicio] [binpath=nombreDeRutaDeBinario]
[type={own|share|kernel|filesys|rec|adapt|interact type={own|share}}]
[start={boot|system|auto|demand|disabled}] [displayname=nombreDescriptivo]

Ahora explicaré cada uno de los parámetros utilizados.

Crear servicios de Windows con Process Hacker (sin sc.exe)

Fri, 16 Aug 2013 11:31:00 +0000

Probando algunos y nuevos task managers, de nuevo me reencontré con Process Hacker del que ya había hablado, volviendo a investigarlo un poco más a fondo he visto que se pueden crear servicios para Windows de algún proceso o fichero ejecutable e incluso añadirle parámetros después del path.

Una vez descarguemos e instalemos Process Hacker de forma gratuita. Lo ejecutamos y nos vamos a la opción de la barra de herramientas: Tools > Create service…

Restablecer la contraseña de la BIOS con CmosPwd

Sat, 15 Jun 2013 15:29:00 +0000

Hay diferentes formas de poder resetear o borrar la password de la BIOS, es decir que para lograr esto tendremos que reiniciar los valores por defecto de la BIOS, como puede ser retirar un pequeño “Jumper” que está situado al lado de la CMOS y que suele ya venir marcada por la placa como algo parecido a lo que se puede ver en la imagen “CMOS PSWD”. Y a continuación encender el equipo con este retirado y al entrar en la BIOS no nos pedirá ninguna contraseña.

Restablecer la password de cualquier cuenta local de Windows (Sticky Keys)

Fri, 01 Jul 2011 16:14:00 +0000

Con esto se podrá recuperar la contraseña de los usuarios registrados en un equipo local sin necesidad obviamente de entrar en el sistema, de manera que no se tenga que introducir la clave anterior para restablecer una nueva passw, de modo que genera una nueva contraseña para el usuario en la que seleccionemos, incluido administradores locales. Así también como el poder manipular otras configuraciones adicionales.