Comprar curso YouTube Twitter LinkedIn

Identificando servicios para realizar el PTH

1. SMB (Server Message Block)

  • Uso en PtH: SMB es a menudo el objetivo principal en ataques PtH, especialmente en versiones anteriores como SMBv1 y SMBv2.

  • Cómo Funciona: En un ataque PtH, un atacante utiliza el hash NTLM de un usuario para autenticarse en un servidor o recurso compartido a través de SMB.

  • Puertos:

    • TCP 445 para SMB directo sobre TCP/IP.

    • TCP 139 y UDP 137-138 en redes que usan NetBIOS sobre TCP/IP.

2. RDP (Remote Desktop Protocol)

  • Uso en PtH: En ciertas configuraciones y versiones de RDP, es posible utilizar PtH para autenticarse.

  • Restricciones Actuales: Las versiones más recientes de RDP y las configuraciones seguras han mitigado en gran medida la efectividad de PtH, aunque sigue siendo un vector potencial dependiendo de la configuración del sistema.

  • Puertos:

    • TCP 3389 es el puerto predeterminado utilizado por RDP.

3. WinRM (Windows Remote Management)

  • Uso en PtH: WinRM puede ser susceptible a PtH, permitiendo a un atacante ejecutar comandos remotamente utilizando el hash de un usuario.

  • Consideraciones: La configuración de seguridad y las versiones de WinRM influyen en su vulnerabilidad a PtH.

  • Puertos:

    • HTTP: TCP 5985 es el puerto predeterminado para WinRM 2.0 (y posteriores) sobre HTTP.

    • HTTPS: TCP 5986 es el puerto utilizado para WinRM sobre HTTPS.

4. WMI (Windows Management Instrumentation)

  • Uso en PtH: A través de WMI, es posible ejecutar comandos o scripts en sistemas remotos utilizando hashes de credenciales.

  • Contexto: WMI es comúnmente utilizado para administración remota, lo que lo convierte en un objetivo atractivo para PtH.

  • Puertos:

    • WMI utiliza DCOM (Distributed Component Object Model), que a su vez usa un rango de puertos dinámicos. Por defecto, estos están en el rango de TCP 1024-65535.

    • Para simplificar la administración de la red, se puede configurar DCOM para usar un conjunto más pequeño de puertos estáticos.

5. MSSQL (Microsoft SQL Server)

  • Uso en PtH: Si SQL Server está configurado para autenticación integrada de Windows, un atacante podría utilizar PtH para conectarse.

  • Dependencia de Configuración: La vulnerabilidad a PtH depende de cómo esté configurado SQL Server y del entorno de red.

  • Puertos:

    • El puerto predeterminado para MSSQL Server es TCP 1433.

    • Para SQL Server Browser, se utiliza UDP 1434.

AnteriorPass-the-Hash (PtH)SiguienteUtilizando Evil-WinRm

Última actualización