8
Ethical Hacking Parte 03 Sesión 01
Ethical HackingParte 03
Sesión 01
Funcionamiento de la validación de credenciales• Las credenciales se encuentran en memoria, hay que
recordar que la contraseña nunca se encuentra en texto plano y si en formato hash, o en algunos casos en una codificación sencilla. Las credenciales son almacenadas
en el proceso LSASS.EXE, este proceso se encarga de administrar la autenticación de dominios de autoridad de seguridad local y el directorio activo.
Funcionamiento de la validación de credenciales• Para un proceso de suplantación de identidad se quiere sustituir las
credenciales en memoria por las que le interesa suplantar.• En la fase de inicio de sesión interactivo, el proceso
WINLOGON.EXE es el encargado de interceptar el proceso de
validación. Cuando se valida al usuario se produce la invocación de LSALogonUser para autenticar en la base de datos SAM (local o
remota), permitiendo crear la sesión si se autenticó correctamente.
Funcionamiento de la validación de credenciales• Esta información será utilizada por LAN Manager y
otros servicios cuando el usuario intente acceder a recursos remotos, objetos locales y al utilizar sus privilegios.
PoC: Llegando mas lejos gracias a la suplantación de identidades• El escenario que se propone en esta prueba de concepto es el
de un auditor que se encuentra en la fase de post-explotación, ya que ha conseguido acceso a una maquina de la red de la empresa que esta auditando. La maquina vulnerada no es una maquina, aparentemente, relevante, pero al parecer varios de los usuarios que se encuentran en dicha maquina también existen en otras maquinas de la red.
PoC: Llegando mas lejos gracias a la suplantación de identidades• A continuación se dan más detalles del escenario:
• El auditor dispone de una maquina con Kali, Bactrack, BackBox
o Buqtraq o cualquier otra maquina de esta índole en
seguridad.
• La maquina vulnerada por el auditor tiene como sistema
operativo Windows XP SP3
• La maquina a la que se quiere acceder es un Windows 7
PoC: Llegando mas lejos gracias a la suplantación de identidades• El punto de partida es la sesión de Meterpreter que
tiene el auditor en la maquina vulnerada de Windows XP SP3. mediante el uso del comando hashdump se puede obtener el listado de usuarios con los hashes LM y NTLM.
PoC: Llegando mas lejos gracias a la suplantación de identidades
Obtención de los usuarios y hashes mediante una sesión de Meterpreter
