SMB Relay
En los clientes no tienen firmado el servicio smb por defecto (Signing: False). Nosotros como atacantes y estando en la misma
red de la infraestructura primeramente vamos a usar una herramienta que se llama responder, si accedemos a la configuración
de esta (responder.conf) podremos ver como por defecto tiene un conjunto de servicios en ON (por ejemplo Http, Smb, SQL…)
esto es porque esta herramienta (responder) simula estos servicios y cuando el cliente solicite un recurso al AD y este no
pueda ofrecérselo, ya sea porque no lo tenga o no lo encuentre, va a devolver el mensaje al Switch el cual enviará un mensaje
broadcast para ver si alguien de la red lo tiene, nosotros (Kali) recibiremos este mensaje broadcast y al estar simulando estos
servicios le diremos al cliente que sí que nosotros tenemos el recurso que esta solicitando pero que ha de enviarnos su NTLM
hash para comprobar que tiene acceso a el. Al obtener su hash NTLM lo crackearemos con la herramienta hashcat indicando
con -m que el has es tipo NTLM y también indicando el archivo txt donde esta almacenado el NTLM hash de la victima y
también indicaremos un diccionario el cual usaremos para que mediante fuerza bruta desencripte el hash. Si hemos tenido
existo crackeando el hash NTLM y obtenemos la credencial en texto plano usaremos la herramienta evil-winrm para acceder a
la infraestructura como ese usuario y su contraseña.
Paso a Paso
La herramienta a usar va a ser “Responder” este comando simula unos servicios anteriormente mencionados que se pueden
ver en el archivo responder.conf.
Antes que nada, debemos poner en OFF la simulación del servicio smb por parte del responder:
/etc/responder/Responder.conf y modificamos SMB OFF
Luego ejecutamos en una terminal:
En los clientes no tienen firmado el servicio smb por defecto (Signing: False). Nosotros como atacantes y estando en la misma
red de la infraestructura primeramente vamos a usar una herramienta que se llama responder, si accedemos a la configuración
de esta (responder.conf) podremos ver como por defecto tiene un conjunto de servicios en ON (por ejemplo Http, Smb, SQL…)
esto es porque esta herramienta (responder) simula estos servicios y cuando el cliente solicite un recurso al AD y este no
pueda ofrecérselo, ya sea porque no lo tenga o no lo encuentre, va a devolver el mensaje al Switch el cual enviará un mensaje
broadcast para ver si alguien de la red lo tiene, nosotros (Kali) recibiremos este mensaje broadcast y al estar simulando estos
servicios le diremos al cliente que sí que nosotros tenemos el recurso que esta solicitando pero que ha de enviarnos su NTLM
hash para comprobar que tiene acceso a el. Al obtener su hash NTLM lo crackearemos con la herramienta hashcat indicando
con -m que el has es tipo NTLM y también indicando el archivo txt donde esta almacenado el NTLM hash de la victima y
también indicaremos un diccionario el cual usaremos para que mediante fuerza bruta desencripte el hash. Si hemos tenido
existo crackeando el hash NTLM y obtenemos la credencial en texto plano usaremos la herramienta evil-winrm para acceder a
la infraestructura como ese usuario y su contraseña.
Paso a Paso
La herramienta a usar va a ser “Responder” este comando simula unos servicios anteriormente mencionados que se pueden
ver en el archivo responder.conf.
Antes que nada, debemos poner en OFF la simulación del servicio smb por parte del responder:
/etc/responder/Responder.conf y modificamos SMB OFF
Luego ejecutamos en una terminal:
responder -I eth0 -dw
Una vez está siendo ejecutado, cuando un cliente solicite un recurso al servidor y este no se lo pueda ofrecer, enviará el
mensaje a e Switch para que este mediante un mensaje broadcast pregunte a toda la red si alguien puede ofrecerle el recurso.
Nosotros al estar simulando ese servicio le diremos que si tenemos el recurso que solicita pero que tendrá que darnos su hash
NTLMv2 para comprobar si tiene los premisos para acceder a él.
Por eso mientras estemos ejecutando el responder, y se produzca todo este proceso, nos aparecerán los NTLMv2 de
usuarios.
Una vez conseguido este hash NTLMv2 tendremos de crackearlo con la herramienta hashcat, copiamos todo el hash NTLMv2
conseguido en el responder. Desde el nombre del usuario hasta el final y lo metemos en un archivo txt. Luego ejecutamos:
hashcat -m 5600 -a 0 hash.txt(contiene el hash obtenido) diccionario.txt(usaremos un diccionario de contraseñas para crackear el hash),
O
john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt
Una vez crackeada la contraseña, con la herramienta crackmapexec podríamos identificar si la contraseña obrenida es de un
usuario con privilegios (Pwn3d!) o un usuario normal (+):
usuario con privilegios (Pwn3d!) o un usuario normal (+):
crackmapexec smb IP -u Usuario -p Password
Además, al final de este comando podemos añadir:
crackmapexec smb IP -u Usuario -p Password -d domain --ntds vss
--sam
--lsa
Para dumpear la sam, ntds o lsa.
