Hola a tod@s
Cuando realizamos una auditoria de seguridad informática, más concretamente un test de intrusión se basa en conocer
hasta dónde podemos llegar comprometiendo un sistema. Ya hemos
recolectado información, hemos analizados las vulnerabilidades y
comprometido un sistema en la fase de explotación. ¿Y ahora qué? ¿Nos conformamos con sólo un equipo pudiendo gobernar a todos?
Imagen 1: Sesion Meterpreter
Es curioso como muchas empresas utilizan la misma contraseña para todos los ordenadores corporativos.
Una técnica que suelo utilizar es conseguir las credenciales de
administrador del equipo vulnerado y comprobar si el resto de máquinas
accesibles comparten la misma contraseña.
En sistemas Windows, el sistema operativo almacena las contraseñas cifradas en el fichero SAM
con los algoritmos LM o NTLM. En sistemas anteriores a Windows Vista o
Windows 2008, el algoritmo de cifrado por defecto es LM. El cifrado que utiliza Windows es muy débil
ya que soporta un tamaño máximo de contraseña de 14 caracteres, no
distingue mayúsculas de minúsculas, almacena el hash en dos partes de 7
caracteres, y no añade “sal” en el almacenamiento para añadirle
aleatoriedad, haciéndolo muy vulnerable a ataques por fuerza bruta.
Como hemos visto en la imagen anterior tenemos la maquina vulnerada, hemos conseguido una sesión con meterpreter, no obstante antes de ir a por “el turrón” podemos sacar información de la maquina. Con el comando getuid podemos saber los privilegios que tenemos en el sistema y con sysinfo tenemos información como el nombre de la maquina, sistema operativo, arquitectura, etc.
Imagen 2: Información de la Maquina
Una recomendación que lanzo desde aquí es migrar el
proceso, a veces las maquinas vulneradas no tienen suficientes
privilegios y no podemos recuperar la SAM. Por ello recomiendo migrar al proceso lsass.exe
Para tal objetivo tenemos disponible el comando ps el cual nos listara todos los procesos que se están ejecutando en la maquina “víctima”.
Tan sólo nos bastará buscar el proceso y quedarnos con su PID en mi caso migrate 680.
Imagen 3: Migrate
Ahora sí, vamos a recuperar los hashes almacenados en la SAM:
Imagen 4: Volcado Hashes
Para ello introducimos en nuestra consola de Metasploit el comando run post/windows/gather/hashdump
Ya tenemos los hashes, sólo nos queda descifrarlos y
sacar las passwords, como vimos anteriormente el usuario víctima es
administrador.
Para sacar las password voy a utilizar una herramienta que también tenemos disponible en KALI, como es Ophcrack, la encontrareis en Password Attacks.
Imagen 5: Descifrado del Hash
Ophcrack es una herramienta gráfica muy
intuitiva, tan sólo tenemos que cargar el hash y botón Crack para
comenzar el descifrado. Como veis la contraseña era muy débil 1234, en cuestión de segundos la ha sacado.
Con la password en texto plano, es decir en legible,
ya estamos listos para ir comprobando si el resto de maquinas comparten
la misma contraseña, a divertirse.
No seáis malos.