Impersonation

La impersonación en el contexto de la ciberseguridad, especialmente en entornos de Active Directory, implica el uso de credenciales obtenidas para acceder a recursos como si fuera otro usuario. Dependiendo del tipo de material de credencial obtenido, la impersonación se puede realizar de diferentes maneras:

Usando Hashes de Contraseñas LM o NT: Técnica conocida como "pass-the-hash".
RC4 Kerberos key (es decir, hash NT): Conocida como "overpass-the-hash".
no-RC4 Kerberos key (como DES o AES): Referida como "pass-the-key", también un alias para "overpass-the-hash".
Ticket Kerberos: A través de la técnica "pass-the-ticket".
Contraseña en Texto Plano: Se aplican técnicas adicionales.

En el contexto de PowerShell, hay varias maneras de realizar la impersonación:

Comando RunAs: Es un comando estándar de Windows que permite ejecutar un programa bajo una cuenta de usuario diferente. Utiliza el flag /netonly para indicar que las credenciales se usan solo para acceso remoto. Por ejemplo, runas /netonly /user:$DOMAIN\$USER "powershell.exe".
Objeto de Credencial en PowerShell: Puedes crear un objeto de credencial en PowerShell y suministrarlo con el argumento -Credential en el siguiente comando. Esto se puede hacer de manera interactiva con Get-Credential o no interactiva creando el objeto de credencial directamente.
Funciones de PowerView: Muchas funciones de PowerView admiten los parámetros -Credential, -Domain y -Server, que se pueden utilizar para especificar explícitamente el usuario, el dominio y el controlador de dominio objetivo. Aquí también, se debe proporcionar un objeto de credencial.

AnteriorFundamentos de movimiento lateral en AD SiguientePass-the-Hash (PtH)

Última actualización hace 7 meses

¿Te fue útil?

Impersonation

Usando Hashes de Contraseñas LM o NT: Técnica conocida como "pass-the-hash".
RC4 Kerberos key (es decir, hash NT): Conocida como "overpass-the-hash".
no-RC4 Kerberos key (como DES o AES): Referida como "pass-the-key", también un alias para "overpass-the-hash".
Ticket Kerberos: A través de la técnica "pass-the-ticket".
Contraseña en Texto Plano: Se aplican técnicas adicionales.

En el contexto de PowerShell, hay varias maneras de realizar la impersonación:

Comando RunAs: Es un comando estándar de Windows que permite ejecutar un programa bajo una cuenta de usuario diferente. Utiliza el flag /netonly para indicar que las credenciales se usan solo para acceso remoto. Por ejemplo, runas /netonly /user:$DOMAIN\$USER "powershell.exe".
Objeto de Credencial en PowerShell: Puedes crear un objeto de credencial en PowerShell y suministrarlo con el argumento -Credential en el siguiente comando. Esto se puede hacer de manera interactiva con Get-Credential o no interactiva creando el objeto de credencial directamente.
Funciones de PowerView: Muchas funciones de PowerView admiten los parámetros -Credential, -Domain y -Server, que se pueden utilizar para especificar explícitamente el usuario, el dominio y el controlador de dominio objetivo. Aquí también, se debe proporcionar un objeto de credencial.

AnteriorFundamentos de movimiento lateral en AD SiguientePass-the-Hash (PtH)

Última actualización hace 7 meses

¿Te fue útil?