Hoy voy a dejar una breve entrada sobre pentesting en Directorio Activo. En este caso veremos el uso de responder utilizando una máquina atacante (Parrot), un DC (Windows 2k16) y un equipo "de escritorio" unido al dominio.
Como digo, va a ser cortita, ya que no voy a explicar las configuraciones. Me limitaré a ir al grano (aunque me cueste xD). Además, será sobre un lab muy concreto, aunque esto no quiere decir que no se pueda encontrar así en la vida real.
Vale, el escenario es el siguiente.
El Windows 10 está unido al dominio, el Windows 2k16 hace de Domain Controler y el Parrot es la máquina que realiza el ataque, en este caso el responder como apuntaba al principio.
Bien, la cosa va así. El Parrot lanza el responder para envenenar el tráfico LLMNR, NBT-NS y MDNS, y se queda a la escucha.
python Responder.py -I eth0 -rdw
En este momento, supongamos que la máquina Windows 10 hace una petición de una carpeta compartida al DC. Lo que ocurre es que el responder lo caza y nos devuelve el hash de usuario que realiza la petición.
Una vez que tenemos el hash (está dentro de la carpeta logs del responder), podemos copiarlo a un nuevo documento y pasarle el john con el rockyou para crackear la contraseña.
Como se ve en la imagen anterior, se obtiene la contraseña del usuario que pidió el recurso compartido (y otro, que estaba haciendo unas pruebas xD). Para la primera, no tarda ni 2 segundos, para la segunda, no llega a 15 segundos. Así que, podemos imaginar lo que se tarda en romper una contraseña de 9 caracteres incluso usando caracteres especiales. Y si, ya sé que es porque está en el diccionario, pero os asombraríais de las veces que esto ocurren en empresas.
Una vez que tenemos la contraseña de un usuario del dominio, se puede realizar elevación de privilegios (por ejemplo). Y claro, si la contraseña que pillamos es de algún administrador, la fiesta es mayor xD.
Quizá esto lo veamos en otra entrada.
Nos vemos en la siguiente.
0 comentarios:
Publicar un comentario