Utilizando CrackMapExec
CrackMapExec (CME) es una herramienta de post-explotación y auditoría de seguridad muy conocida en la comunidad de ciberseguridad. Desarrollada en Python, es fundamentalmente utilizada para la automatización de la evaluación de grandes redes de Windows, aunque también tiene capacidades contra otros sistemas operativos. Es especialmente útil para pruebas de penetración y ejercicios de Red Teaming.
Aquí te detallo algunas de las principales características y capacidades de CrackMapExec:
Enumeración de Sistemas y Usuarios:
CME puede identificar rápidamente los sistemas operativos de los hosts en una red, los servicios que están ejecutando, y otros atributos.
Puede enumerar usuarios, grupos y políticas de contraseña de sistemas Windows, incluyendo aquellos en un dominio de Active Directory (AD).
Fuerza Bruta y Paso de Credenciales:
Permite realizar ataques de fuerza bruta para validar credenciales en una variedad de servicios, incluyendo SMB, SSH, WinRM, entre otros.
Es capaz de realizar "pass-the-hash" y "pass-the-ticket" para autenticar en sistemas Windows utilizando hashes NTLM o tickets Kerberos respectivamente, sin necesidad de las contraseñas en texto claro.
Movimiento Lateral:
Facilita el movimiento lateral mediante la ejecución remota de comandos a través de varios métodos como WMI (Windows Management Instrumentation), SMB (Server Message Block), y WinRM (Windows Remote Management).
Puede desplegar y ejecutar payloads y scripts en sistemas remotos.
Manipulación de Active Directory:
Puede interactuar con AD para extraer información valiosa, como detalles de políticas de grupo, relaciones de confianza entre dominios y mucho más.
Capacidad para identificar y explotar configuraciones erróneas en AD.
Ejecución de Módulos:
CME es modular, lo que significa que los usuarios pueden escribir y ejecutar sus propios módulos para realizar tareas específicas.
Varios módulos están disponibles para diversas tareas, desde la exfiltración de datos hasta la manipulación de configuraciones de sistema.
Interacción con Impacket:
CrackMapExec puede integrarse con la biblioteca Impacket para ampliar aún más sus capacidades, especialmente en lo que respecta a protocolos de red y técnicas de explotación.
Bypass de Seguridad:
Incluye técnicas para evadir soluciones de seguridad de punto final y detectar sistemas con protecciones como Antivirus y EDR (Endpoint Detection and Response).
CrackMapExec es una herramienta poderosa debido a su versatilidad y capacidad de realizar una amplia gama de tareas de manera rápida y escalable.
./cme ldap 18.116.10.36 -u 'clearpass.user' -p 'Password@1' --users
SMB 18.116.10.36 445 FIRST-DC [*] Windows 10.0 Build 17763 x64 (name:FIRST-DC) (domain:spartancybersec.corp) (signing:True) (SMBv1:False)
LDAP 18.116.10.36 389 FIRST-DC [+] spartancybersec.corp\clearpass.user:Password@1
LDAP 18.116.10.36 389 FIRST-DC [*] Total of records returned 23
LDAP 18.116.10.36 389 FIRST-DC Administrator Built-in account for administering the computer/domain
LDAP 18.116.10.36 389 FIRST-DC Guest Built-in account for guest access to the computer/domain
LDAP 18.116.10.36 389 FIRST-DC admin
LDAP 18.116.10.36 389 FIRST-DC krbtgt Key Distribution Center Service Account
LDAP 18.116.10.36 389 FIRST-DC regular.user
LDAP 18.116.10.36 389 FIRST-DC dnsadmin.user
LDAP 18.116.10.36 389 FIRST-DC unconstrained.user
LDAP 18.116.10.36 389 FIRST-DC constrained.user
LDAP 18.116.10.36 389 FIRST-DC userwrite.user
LDAP 18.116.10.36 389 FIRST-DC userall.user
LDAP 18.116.10.36 389 FIRST-DC compwrite.user
LDAP 18.116.10.36 389 FIRST-DC gpowrite.user
LDAP 18.116.10.36 389 FIRST-DC lapsread.user LAPS yet to be implemented
LDAP 18.116.10.36 389 FIRST-DC groupwrite.user
LDAP 18.116.10.36 389 FIRST-DC writedacldc.user
LDAP 18.116.10.36 389 FIRST-DC readgmsa.user GMSA yet to be implemented
LDAP 18.116.10.36 389 FIRST-DC clearpass.user Remember to remove this! Password@1
LDAP 18.116.10.36 389 FIRST-DC roast.user
LDAP 18.116.10.36 389 FIRST-DC asrep.user
LDAP 18.116.10.36 389 FIRST-DC adminwebserver
Es importante tener configurado el /etc/hosts asi:
Obviamente teniendo en cuenta la IP publica actual del FIRST-DC.
18.116.10.36 first-dc.spartancybersec.corp spartancybersec.corp
Última actualización
¿Te fue útil?