Windows
Volcado de contraseñas y hashes en Windows
Dependiendo del mecanismo de autenticación empleado y de la versión de Windows, es posible que las credenciales utilizadas por los usuarios se puedan recuperar directamente de la memoria de procesos como el LSASS o en otras ubicaciones. De hecho, los ataques clásicos de pass the hash se basan en obtener los hashes de las contraseñas utilizadas para iniciar sesión en el sistema local y en el caso de que la autenticación se lleve a cabo contra un AD, dichos hashes estarán guardados en los controladores de dominio. Los ataques de pass the hash continúan siendo una amenaza real y representan una técnica perfectamente valida para intentar elevar privilegios o realizar movimientos laterales. Aunque cuando se habla de PtH comúnmente se refiere a hashes NT, la misma dinámica aplica a Kerberos solo que en este caso se puede intentar obtener el TGT (Ticket-Granted Ticket).
Windows almacena las contraseñas en SAM - Security Account Manager. Las contraseñas se almacenan de forma diferente según el sistema operativo. Hasta (incluido) Windows 2003 almacenó las contraseñas en LAN Manager (LM) y NT LAN Manager (NTLM). LM es increíblemente inseguro. Desde Windows Vista y en el sistema no se usa LM, solo NTLM. El cual, es un poco más seguro.
LM y NTLM> = Windows 2003
NTLM> Windows vista
Hashes LM
Los hash LM pueden ser muy fáciles de descifrar. La parte LM en el ejemplo siguiente es la primera parte.
Ejemplo de NT
fgdump.exe
Podemos usar fgdump.exe( locate fgdump.exeen kali) para extraer los hashes de contraseña NTLM y LM. Ejecútelo y hay un archivo llamado 127.0.0.1.pwndump donde se guarda el hash. Ahora puedes intentar usar la fuerza bruta.
Windows Credencial Editor (WCE)
¡WCE puede robar contraseñas NTLM de la memoria en texto sin cifrar! Existen diferentes versiones de WCE, una para sistemas de 32 bits y otra para 64 bits. Así que asegúrese de tener el correcto.
Utilización del registro sin herramientas alternas
Esta podría ser una técnica mejor que usar herramientas como wce y fgdump, ya que no tiene que cargar ningún binario. Obtenga el registro:
Los hashes se pueden extraer usando secretdump.pyopwdump
Transferencia de SAM y SYSTEM hacia nuestro kali
LSA Secrets:
Ya se ha mencionado anteriormente que el proceso LSASS almacena en memoria información sensible como las credenciales de los usuarios, sin embargo existen otros elementos que también son interesantes y relevantes para un proceso de post-explotación, por ejemplo:
Contraseñas almacenadas en el ordenador localmente.
Contraseñas de cuentas destinadas a servicios que se ejecutan en el sistema.
Contraseñas de aplicaciones especificas, como por ejemplo aplicaciones web desplegadas en un IIS.
Contraseñas utilizadas en las tareas programadas creadas en el sistema operativo.
Explotacion de MS17-010
Obteniendo informacion de los procesos corriendo en el sistema
Última actualización