Identificando servicios para realizar el PTH

Uso en PtH: SMB es a menudo el objetivo principal en ataques PtH, especialmente en versiones anteriores como SMBv1 y SMBv2.
Cómo Funciona: En un ataque PtH, un atacante utiliza el hash NTLM de un usuario para autenticarse en un servidor o recurso compartido a través de SMB.
Puertos:
- TCP 445 para SMB directo sobre TCP/IP.
- TCP 139 y UDP 137-138 en redes que usan NetBIOS sobre TCP/IP.

Uso en PtH: En ciertas configuraciones y versiones de RDP, es posible utilizar PtH para autenticarse.
Restricciones Actuales: Las versiones más recientes de RDP y las configuraciones seguras han mitigado en gran medida la efectividad de PtH, aunque sigue siendo un vector potencial dependiendo de la configuración del sistema.
Puertos:
- TCP 3389 es el puerto predeterminado utilizado por RDP.

Uso en PtH: WinRM puede ser susceptible a PtH, permitiendo a un atacante ejecutar comandos remotamente utilizando el hash de un usuario.
Consideraciones: La configuración de seguridad y las versiones de WinRM influyen en su vulnerabilidad a PtH.
Puertos:
- HTTP: TCP 5985 es el puerto predeterminado para WinRM 2.0 (y posteriores) sobre HTTP.
- HTTPS: TCP 5986 es el puerto utilizado para WinRM sobre HTTPS.

Uso en PtH: A través de WMI, es posible ejecutar comandos o scripts en sistemas remotos utilizando hashes de credenciales.
Contexto: WMI es comúnmente utilizado para administración remota, lo que lo convierte en un objetivo atractivo para PtH.
Puertos:
- WMI utiliza DCOM (Distributed Component Object Model), que a su vez usa un rango de puertos dinámicos. Por defecto, estos están en el rango de TCP 1024-65535.
- Para simplificar la administración de la red, se puede configurar DCOM para usar un conjunto más pequeño de puertos estáticos.

Uso en PtH: Si SQL Server está configurado para autenticación integrada de Windows, un atacante podría utilizar PtH para conectarse.
Dependencia de Configuración: La vulnerabilidad a PtH depende de cómo esté configurado SQL Server y del entorno de red.
Puertos:
- El puerto predeterminado para MSSQL Server es TCP 1433.
- Para SQL Server Browser, se utiliza UDP 1434.

Última actualización hace 8 meses

¿Te fue útil?

Uso en PtH: SMB es a menudo el objetivo principal en ataques PtH, especialmente en versiones anteriores como SMBv1 y SMBv2.
Cómo Funciona: En un ataque PtH, un atacante utiliza el hash NTLM de un usuario para autenticarse en un servidor o recurso compartido a través de SMB.
Puertos:
- TCP 445 para SMB directo sobre TCP/IP.
- TCP 139 y UDP 137-138 en redes que usan NetBIOS sobre TCP/IP.

Uso en PtH: En ciertas configuraciones y versiones de RDP, es posible utilizar PtH para autenticarse.
Restricciones Actuales: Las versiones más recientes de RDP y las configuraciones seguras han mitigado en gran medida la efectividad de PtH, aunque sigue siendo un vector potencial dependiendo de la configuración del sistema.
Puertos:
- TCP 3389 es el puerto predeterminado utilizado por RDP.

Uso en PtH: WinRM puede ser susceptible a PtH, permitiendo a un atacante ejecutar comandos remotamente utilizando el hash de un usuario.
Consideraciones: La configuración de seguridad y las versiones de WinRM influyen en su vulnerabilidad a PtH.
Puertos:
- HTTP: TCP 5985 es el puerto predeterminado para WinRM 2.0 (y posteriores) sobre HTTP.
- HTTPS: TCP 5986 es el puerto utilizado para WinRM sobre HTTPS.

Uso en PtH: A través de WMI, es posible ejecutar comandos o scripts en sistemas remotos utilizando hashes de credenciales.
Contexto: WMI es comúnmente utilizado para administración remota, lo que lo convierte en un objetivo atractivo para PtH.
Puertos:
- WMI utiliza DCOM (Distributed Component Object Model), que a su vez usa un rango de puertos dinámicos. Por defecto, estos están en el rango de TCP 1024-65535.
- Para simplificar la administración de la red, se puede configurar DCOM para usar un conjunto más pequeño de puertos estáticos.

Uso en PtH: Si SQL Server está configurado para autenticación integrada de Windows, un atacante podría utilizar PtH para conectarse.
Dependencia de Configuración: La vulnerabilidad a PtH depende de cómo esté configurado SQL Server y del entorno de red.
Puertos:
- El puerto predeterminado para MSSQL Server es TCP 1433.
- Para SQL Server Browser, se utiliza UDP 1434.

Última actualización hace 8 meses

¿Te fue útil?