# Identificando servicios para realizar el PTH

### <mark style="color:red;">1. SMB (Server Message Block)</mark>

* **Uso en PtH**: SMB es a menudo el objetivo principal en ataques PtH, especialmente en versiones anteriores como SMBv1 y SMBv2.
* **Cómo Funciona**: En un ataque PtH, un atacante utiliza el hash NTLM de un usuario para autenticarse en un servidor o recurso compartido a través de SMB.
* **Puertos**:
  * TCP 445 para SMB directo sobre TCP/IP.
  * TCP 139 y UDP 137-138 en redes que usan NetBIOS sobre TCP/IP.

### <mark style="color:red;">2. RDP (Remote Desktop Protocol)</mark>

* **Uso en PtH**: En ciertas configuraciones y versiones de RDP, es posible utilizar PtH para autenticarse.
* **Restricciones Actuales**: Las versiones más recientes de RDP y las configuraciones seguras han mitigado en gran medida la efectividad de PtH, aunque sigue siendo un vector potencial dependiendo de la configuración del sistema.
* **Puertos**:
  * TCP 3389 es el puerto predeterminado utilizado por RDP.

### <mark style="color:red;">3. WinRM (Windows Remote Management)</mark>

* **Uso en PtH**: WinRM puede ser susceptible a PtH, permitiendo a un atacante ejecutar comandos remotamente utilizando el hash de un usuario.
* **Consideraciones**: La configuración de seguridad y las versiones de WinRM influyen en su vulnerabilidad a PtH.
* **Puertos**:
  * HTTP: TCP 5985 es el puerto predeterminado para WinRM 2.0 (y posteriores) sobre HTTP.
  * HTTPS: TCP 5986 es el puerto utilizado para WinRM sobre HTTPS.

### <mark style="color:red;">4. WMI (Windows Management Instrumentation)</mark>

* **Uso en PtH**: A través de WMI, es posible ejecutar comandos o scripts en sistemas remotos utilizando hashes de credenciales.
* **Contexto**: WMI es comúnmente utilizado para administración remota, lo que lo convierte en un objetivo atractivo para PtH.
* **Puertos**:
  * WMI utiliza DCOM (Distributed Component Object Model), que a su vez usa un rango de puertos dinámicos. Por defecto, estos están en el rango de TCP 1024-65535.
  * Para simplificar la administración de la red, se puede configurar DCOM para usar un conjunto más pequeño de puertos estáticos.

### <mark style="color:red;">5. MSSQL (Microsoft SQL Server)</mark>

* **Uso en PtH**: Si SQL Server está configurado para autenticación integrada de Windows, un atacante podría utilizar PtH para conectarse.
* **Dependencia de Configuración**: La vulnerabilidad a PtH depende de cómo esté configurado SQL Server y del entorno de red.
* **Puertos**:
  * El puerto predeterminado para MSSQL Server es TCP 1433.
  * Para SQL Server Browser, se utiliza UDP 1434.