Impersonation
Última actualización
¿Te fue útil?
Última actualización
¿Te fue útil?
La impersonación en el contexto de la ciberseguridad, especialmente en entornos de Active Directory, implica el uso de credenciales obtenidas para acceder a recursos como si fuera otro usuario. Dependiendo del tipo de material de credencial obtenido, la impersonación se puede realizar de diferentes maneras:
Usando Hashes de Contraseñas LM o NT: Técnica conocida como "".
RC4 Kerberos key (es decir, hash NT): Conocida como "overpass-the-hash".
no-RC4 Kerberos key (como DES o AES): Referida como "pass-the-key", también un alias para "overpass-the-hash".
Ticket Kerberos: A través de la técnica "pass-the-ticket".
Contraseña en Texto Plano: Se aplican técnicas adicionales.
En el contexto de PowerShell, hay varias maneras de realizar la impersonación:
Comando RunAs: Es un comando estándar de Windows que permite ejecutar un programa bajo una cuenta de usuario diferente. Utiliza el flag /netonly
para indicar que las credenciales se usan solo para acceso remoto. Por ejemplo, runas /netonly /user:$DOMAIN\$USER "powershell.exe"
.
Objeto de Credencial en PowerShell: Puedes crear un objeto de credencial en PowerShell y suministrarlo con el argumento -Credential
en el siguiente comando. Esto se puede hacer de manera interactiva con Get-Credential
o no interactiva creando el objeto de credencial directamente.
Funciones de PowerView: Muchas funciones de PowerView admiten los parámetros -Credential
, -Domain
y -Server
, que se pueden utilizar para especificar explícitamente el usuario, el dominio y el controlador de dominio objetivo. Aquí también, se debe proporcionar un objeto de credencial.