Directorio Activo Smb Relay Ipv4

En esta ocasion vamos a estar practicando en un entorno controlado simulando un DC que ya tenemos configurado con algunos usuarios y contraseñas vamos a praticar un ataque de Samba Relay por IPV4, hay ataques que parecen magia. El SMB Relay es uno de esos. Cuando lo ves bien ejecutado, y no sabes que esta pasando por la cuquita de la maquina lo primero que piensas es ¿Cómo es posible?

Y es que parece un conjuro sacado de algún grimorio polvoriento, un par de comandos en un par de consolas etc y magia, estamos dentro. Como ya habra podido deducir, no es un ataque complejo, al menos su realización, lo que ya requiere darle más a la cabeza es entender que ocurre, el porque esa misteriosa letanía obra de tal milagro en forma de acceso instantáneo.

Acceso inicial

• Enumeracion puertos abiertos y los servicios que corren con NMAP

• Responder para envenenar el trafico

• Cracking con John

• Crackmapexec

• Inicio de sesion con wmiexec.py haciendo un Pass The Hash

Nmap 1

1- Primeramente con Nmap hacemos un escaneo basico para ver que puertos estan abiertos

Nmap 2

---

2- Segundo igualmente con Nmap ahora que sabemos que puertos estan abiertos, ahora tratamos de ver que servicio y version corren en esos puertos abiertos

---

Responder

---

1- Ahora que ya hemos echo un reconocimiento basico pasamos a la siguiente fase envenenar el trafico del DC asi que primeramente nos ponemos en escucha con responder para envenenar el trafico de la red, asi si algun usuario entra a un recurso compartido a nivel de red podemos obtener un hash y un nombre de usuario para tratar de crackear ese usario con John

---

---

1- El usuario administrador ah accedido a algun recurso compartido a nivel de red y el responder los captura tanto el usuario que accedio a ese recurso como el hash del usuario

---

John

---

Ahora que ya tenemos el hash pasamos el hash a un archivo de texto para crackearlo con John y ver si podemos obtener la contraseña del usuario administrador obviamente obtenemos la contraseña del usuario administrador, John tarda poco tiempo en encontrarla la cual es 25M

---

Crackmapexec

Ahora que ya tenemos la contraseña del usuario administrador usamos la herramienta de crackmapexec para enumerar el DC, de entrada podemos ver que el samba no esta firmado y nos pone (Pwn3d!), si nos pone (Pwn3d!) nos podemos dumpear la sam del usuario administrador

---

Crackmapexec sam

Anteriormente mencionamos que si nos pone (Pwn3d!) podemos dumpear la sam del usuario, asi que pasamos a ese paso a dumpearnos la sam del usuario administrador esto nos servira para hacer un Pass the hash.

Un Pass the hash es pasar el hash es una técnica de piratería que permite a un atacante autenticarse en un servidor o servicio remoto utilizando el hash NTLM o LanMan subyacente de la contraseña de un usuario , en lugar de solicitar la contraseña de texto sin formato asociada como suele ser el caso.

---

crackmapexec Users

Ahora ya tenemos la sam del usuarios administrador y podriamos intentar hacer un Pass the hash pero vamos a seguir enumerando el DC en este caso enumeramos todos los usuarios que estan en el DC, encontramos un total de 8 usuarios que estan en el DC

---

crackmapexec ntds

Con todos los usuarios que hemos encontrado esa ya es informacion valiosa que podriamos deribar en otros ataques pero estamos haciendo algo simple, en este caso nos dumpeamos el ntds de todos los usuarios del DC, que es el NTDS.

El NTDS (Active Directory Domain Services) es el servicio de directorio de Windows que almacena información sobre objetos de red, usuarios, grupos y otros recursos en un entorno de dominio. El NTDS VSS es una función que permite crear instantáneas (copia en un momento específico) de la base de datos de Active Directory en un controlador de dominio.

---

wminexec

Ahora si vamos pa dentro ganar acceso haciendo el famoso pass the hash con el del usuario administrador, para este caso usamos la herramienta wmiexec.py el uso de la herramienta es simple, primeramente le especificas el nombre del dominio que en este caso es rodgarcorp.local, seguido del usuario del cual tienes el hash que en este caso el usuario es administrador, luego le especificas con el parametro –hashes que le quieres pasar un hash y le pasas el hash de dicho usuario, le damos a enter y magia estamos dentro de la maquina, si hacemos un whoami vemos que estamos dentro como el usuario administrador,

Y ya, ya habriamos practicando el ataque el SMB Relay

---

DC

Como plus en el DC habia dejado un archivo para leerlo cuando llegara a tener acceso si hacemos un dir en el Desktop hay una carpeta llamada importante con una nota

“FELICIDADES POR HABER COMPROMETIDO EL DC”

---

Como info estamos en un entorno controlado todo lo hacemos a la primera, pero en un entorno real nos llevaria mucho mas tiempo, pero el punto es practicar para ya cuando estes en un entorno real una empresa real no una ficticia sepa que es lo que tiene que hacer.

---