martes, 9 de enero de 2018

Manu derrotó a Trinitarios: Por qué la seguridad es esencial [Post-explotación]

*********************************************************************************
********************************************************************************

Una vez que se termina la fase de explotación de vulnerabilidades sobre una máquina de la red, haces eso, explotar vulnerabilidades sobre una sola máquina. Ahora, en esta fase, tienes que tratar de conseguir acceso a los demás equipos desde este primer equipo. En esta nueva fase tenemos que usar aún más el ingenio y lograr este acceso sin que nos pillen. 


Debo recordar que en la anterior fase de explotación, conseguimos acceso al ordenador del Jefe de Estudios Juanjo-el que habló mal del veganismo- y cómo podíamos tener acceso a los exámenes de su asignatura. No obstante, no nos vamos a quedar satisfechos con lo que hemos logrado, pero antes, la introducción.

Si recordamos un poco las fases anteriores, veremos que Trinitarios cuenta con un FTP, por lo que lo primero que haremos es comprobar si tiene habilitada la cuenta anonymous y se vea, por ende, afectada por las misconfiguration. Para que esto no resulte tan sencillo, deshabilité la cuenta anonymous, pero sería tan sencillo como pasar el shellcode bindeado a cualquier pdf con la normativa, notas o instrucciones o puntos para la próxima reunión. Aquí entra en juego la ingeniería social.


[SPOILER ALERT] Lo que se pretende hacer es tratar de expandirnos tal y como se expande "el Demogorgon" por el cerebro de Will. Esto lo haremos para engañar a todos los usuarios de la red tal y como hace el Demogorgon en 'The Spy' con Will y 'los soldados'. Queremos que pasen las HACKING THINGS. [The End]

Lo primero que vamos a hacer es suponer algo que no es muy descabellado. Vamos a suponer que cada profesor tiene de 1 a n carpetas compartidas en red para que los demás profesores accedan a esas carpetas, ya que no todo el mundo sabe usar un FTP. Suponiendo esto, y teniendo en cuenta que aún tenemos la sesión meterpreter activa al ordenador de Juanjo, Jefe de Estudios, realizaremos una jugada ingeniosa.


Tendremos que entrar en la shell que nos permite ejecutar el escenario que se nos ha enviado una vez que el usuario víctima ha ejecutado el shellcode. Una vez que tengamos la shell, simplemente tendremos que mover el shellcode a la carpeta compartida. Esto por comandos de Windows se hace de una forma muy sencilla con el comando

MOVE [ARCHIVO A MOVER] [DIRECTORIO AL QUE VA A SER MOVIDO] 

Esta puede ser una jugada ingeniosa pues nos estamos aprovechando de una falacia arraigada en la mayoría de la gente, la falacia ad verecundiam o falacia de apelación a la autoridad. En este caso, como es el Jefe de Estudios y es una autoridad sobre la mayoría de profesores, mucha gente puede entender que todo lo que deje en su carpeta compartida puede ser importante.


Nos vamos a asegurar de que se ha pasado correctamente, pues esta es una parte muy importante en el vector de ataque que he planteado. Vemos que se ha pasado sin problemas.


Solamente tendríamos que esperar a que cualquier otro usuario ejecute la shellcode. Esto se podría mejorar si se bindea a un pdf por ejemplo. En este caso, se ha hecho que lo ha ejecutado el controlador de dominio, lo que puede suponer un gran problema. 

En entornos de pequeños colegios es muy frecuente que, por ejemplo, el profesor de Tecnología sea el que lleve todo el tema de la web, por lo que estos despistes como el de ejecutar un archivo que no debería en el controlador de dominio, pueden darse más de lo que podemos imaginar.

Volviendo con el ataque, una de las cosas a la que estamos practicamente obligados a hacer, es escalar privilegios para algunas cosas que haremos más adelante.


Dentro del controlador de dominio ya podemos hacer casi todo lo que queramos con la organización. Por ejemplo podríamos hacer un volcado de hashes avanzando con el comando

run post/windows/gather/smart_hashdump 

Y nos percataremos de que hay 3 usuarios con el mismo hash, por lo que podríamos intentar realizar la técnica de Pass The Hash para conseguir conectarnos a cada uno de los equipos. Aunque podríamos conocer la contraseña de cada uno de una manera más sencilla.


Y es que como sabemos que el Administrador, juanjo y joseluisobispo tienen el mismo hash de la contraseña, podríamos cargar un mimikatz y posteriormente hacer un wdigest. Los pasos son

load mimikatz
wdigest

Con esto lo que pretendemos es que si el Administrador ha ejecutado algún programa como Administrador, le podríamos sacar el usuario y contraseña que ha usado para ello. En este caso vemos que el usuario es Administrador y la contraseña Colegiostrinitario5!. Esto no es de gran ayuda, ya que como sabíamos que utilizan el mismo hash, sacamos en claro que también utilizan la misma contraseña, por lo que automáticamente ya sabemos tanto la contraseña del usuario juanjo como joseluisobispo para usar la técnica de Pass the Hash pero esta vez sabiendo la contraseña o bien conectarnos por Escritorio Remoto si lo tuviese habilitado.

Llegados a este punto, ya hemos cumplido con esta fase de post-explotación, pues hemos conseguido acceso a otros equipos de la red. Por supuesto, si estamos en el controlador de dominio, podemos apagar el Windows Server 2008 R2 que contiene además el servicio DHCP, por lo que un apagado del servidor repentino, ocasionaría que el controlador de dominio no estaría disponible y además tampoco asignaría direcciones IP, por lo que no se podrían conectar los equipos. Además, como ya conocemos las credenciales del administrador, podríamos entrar por escritorio remoto,ssh o lo que sea e ir apagando el servidor cada vez que lo reinicie y así dejar owned total

Aún quedaría la fase en la que tendríamos que elaborar el informe. Sobre eso no voy a escribir entrada por 2 motivos. El primero porque no me han pedido una auditoria. Y segundo porque no lo considero como materia del blog hablar sobre cómo hacer el informe, además que es parecido a como ya lo estoy haciendo al escribir esta serie de entradas, aunque sí que queda, como mínimo una entrada más hablando sobre las conclusiones.


¿Hackeamos el Mundo?



No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...