Artículo Ojala Que Llueva Café.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Seguro que esto lo habéis escuchado en más de una ocasión, que gran canción!!, Grande!!! Juan Luis Guerra. Corría el año 1989 o 1990, una tarde de verano, en una buena terraza de un bar, bajo la sombra de algunos árboles, creo que pinos, leve brisa marina, con amigos y amigas, tomando un café largo con leche y unas cartas o trivial sobre la mesa..... y esta canción, sonando a un volumen moderado, Ojala Que Llueva Café....... Que recuerdos!!!!.

Bueno pues espero que os haya gustado este artículo..... Nooooooo!!! Es broma, si os dais cuenta hay mas texto debajo de este párrafo, leerlo por favor, me gustaría hablar de una de las técnicas más usadas por los auditores de seguridad.

Ojala Que Lluevan Hash.

Seguro que alguno de mis artículos he nombrado ya la técnica "Pass The Hash", pues bien ha llegado el momento de ver en qué consiste.
Esta técnica se apoya en algunas vulnerabilidades del sistema objetivo, y se trata de capturar las claves encriptadas de un usuario, vamos lo que se denomina un hash. Estos hash, pueden correr por la red, por ejemplo cuando un usuario intenta acceder a un recurso compartido.....
La técnica que os voy a explicar se apoya en ciertas herramientas de Linux. Necesitareis lo siguiente:
-         CrackMapExec.
-         Tener instalado el Impacket.
-         NTLMRelayx.
-         Responder.
-         Una Shell inversa.
¿Lo tenemos todo?, genial!!! Vamos a realizar una POC.
Vamos a empezar, marcando los objetivos, para que esta técnica funcione, se tiene que dar que el objetivo no tenga firmado el SMB. Para identificar los objetivos podemos usar "CrackMapExec", con la siguiente línea.



Una vez ejecutado me mostrara todos los posibles objetivos.



Antes de seguir, voy a definir un poco las IP y el papel que va a tener cada una de ellas:

192.168.1.101 – Esta IP, es el "Parrot", desde donde voy a realizar todos los ataques mediante Linux.
192.168.1.38 – Esta IP, es el objetivo en el cual voy a meter la Shell inversa. Es un Windows Server 2012 R2.
192.168.1.254 – Esta IP, me va a servir para solicitar una conexión a un recurso de red inexistente.

Una vez que tenemos los objetivos, vamos a usar una herramienta de Linux.

NTLMRelayx, es una herramienta, que se complementa muy bien con otra herramienta de Linux que es Responder, vamos un envenenador de red.
NTLMRelayx, la voy a usar, para que capture Hash y seguidamente intente identificarse en el objetivo con el hash capturado. Lo que tenéis que entender, es que el hash que se ha capturado, en algún ordenador.., debe ser "la clave" del administrador local, codificada del ordenador objetivo.

De lo ordenadores que me ha devuelto el CrackMapExec, voy a fijar como objetivo



Al Windows Server 2012 R2. El fijar este servidor, es porque me he fijado que no tiene firmado el SMB.



Bien, pues vamos a poner en marcha a NTLMRelayx.



-smb2support = Que tenga soporte sobre la versión 2 de smb, por si a smb1 esta desactivada.
-t = Probara cualquier identificación capturada sobre la IP.
-e = Un exploit que podréis fabricar con el mismo msfvenom, en mi caso es de cosecha propia.

Bien ahora vamos a retocar el Responder.





Cambiamos esos valores en el responder para que no se pise con NTLMRelayx.
Ahora voy a iniciar el responder



Ya tenemos levantado el NTLMRelayx y Responder, bien, bien, pues como la idea es meter una Shell inversa en el objetivo una vez capturado al hash, voy a usar metasploit, para conectarme contra su exploit Multi/Handler. Para que mi Shell se conecte a él.



Mi Shell inversa está configurada para que apunte a la IP 192.168.1.101, por la que está escuchando metasploit. Bien pues a ejecutar este exploit.

Y ya por ultimo pero no menos importante hay que forzar una conexión de red, desde cualquier otro ordenador, para que nuestra trama funcione. Si estáis en una auditoría interna, y estáis físicamente en la oficina del cliente, podéis pinchas un "Bad Usb" (mirar mi artículo No tienes permitido ver los links. Registrarse o Entrar a mi cuenta ) para que provoque esa conexión de red.

Si habéis cogido por medio de una vulnerabilidad alguno otro ordenador desde este mismo, podréis también forzar una conexión hacia un recurso de red que no exista. En mi caso voy a forzar la llamada desde la IP mencionada anteriormente: 192.168.1.254.



Si todo ha ido bien, y el objetivo, 192.168.1.38, no estaba correctamente fortificado.... Estaremos dentro por medio de una Shell inversa, introducida por NTLMRelayx.



Como se puede solucionar este problema para que esto no funcione:
1.      Habilitar firma SMB.
Dentro del objetivo, 192.168.1.38 el Windows Server 2012 R2, voy a activa la firma para SMB.
Para ello, voy a usar la "Administración de directivas de grupo".



Dentro voy a buscar las directivas siguientes y las voy a dejar habilitadas.



Para actualizar sin reinicar, podeis usar un "Comando G", desde el cmd del servidor "gpupdate".
Si todo va bien, ahora cuando ejecute con "CrackMapExec" y busque objetivos con el SMB sin firmar ya no deberia de aparecer esta IP 192.168.1.38.



2.      Deshabilitar LLMNR

En este caso vamos dentro de las "Directivas de grupo" a:



Y habilitamos la siguiente directiva.



3.      Deshabilitar NBT-NS
Aqui vamos a configuracion de red (Este punto es discutible....).



Sacamos las propiedades de la tarjeta de red. Seleccionamos el protocolo de internet TCP/IPv4 y damos clic sobre el boton de propiedades, seguidamente clic sobre el boton de "Opciones Avanzadas", nos posicionamos en la pestaña "Wins" y damos clic:



4.      Supervisión
Tener siempre levantado el cortafuegos y el Windows Defender, si podeis meter algun antivirus, mejor que mejor.

Os aconsejo, que hagais pruebas en vuestros laboratorios.....

Esta técnica, es ya muy antigua, pero seguro que todavía le podéis sacar provecho. Recordar que si un ordenador está bien fortificado, esto no sucederá.
Os animo a estudiar NTLMRelayx, hay otras formas de explotarlo, por medio de "Socks", listas de posibles objetivos......
Dedicado a mi familia de The Security Sentinel, David Gaona y Guillermo Ezquerra. Por muchos éxitos juntos.

Un cordial saludo a todos.

Fuente original.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Está muy bueno.

También ocurrentemente gracioso el título que le puso el autor.

Axcess, muchas gracias. Un cordial saludo.