Recientemente realizamos una prueba de penetración de red interna para una gran empresa con hasta 3 dominios y más de 2000 hosts. No teníamos ningún conocimiento de la red objetivo (como lo habría hecho un atacante) y nos colocaron en la VLAN del usuario con acceso no autenticado.

Decidimos escribir un blog sobre él, ya que utilizamos varias técnicas diferentes (simples y complejas) para obtener un administrador de dominio en los tres dominios, además de un administrador empresarial J.

Dios mío, es una gran red

Realizamos un análisis rápido de NMAP en puertos limitados para analizar toda la gama de direcciones IP a fin de identificar los hosts con al menos un servicio en ejecución e identificamos más de 2000 hosts activos. Nuestra elección inmediata fue utilizar la base de datos Metasploit para la evaluación. Esta práctica herramienta es tan impresionante que no solo ayuda a aprovechar las vulnerabilidades directamente desde la consola de Metasploit, sino que también ahorra mucho tiempo al consolidar los resultados del escaneo y especificar los tipos de objetivos; cómo usar y configurar después aquí.

Sin Nessus, directamente a crackmapexec

Nos centramos en obtener el mayor nivel de privilegios de acceso en poco tiempo; un escáner de vulnerabilidades requeriría mucho tiempo, sería ruidoso y extenuante para una red tan grande. Se puede ejecutar como un escaneo nocturno. Pasemos a los ataques dirigidos e identifiquemos si los servidores activos están conectados al dominio (y a qué dominio) o a sistemas independientes:

crackmapexec smb <hosts list>

El comando anterior reveló tres dominios y diferentes directorios activos.

El viejo MS17-010 (EternalBlue)

Durante la fase inicial, identificamos un host que ejecutaba Windows 2003 que estaba obsoleto y era vulnerable a MS17-010. Se trata de un truco rápido y hemos podido obtener acceso administrativo al host mediante el exploit MS17-010 disponible en Metasploit Framework. Sin embargo, este no es el dominio principal.‍

‍

Con el acceso administrativo, descargamos las credenciales de wdigest usando mimikatz y obtuvo la contraseña en texto sin cifrar del usuario que pertenece al grupo «Administradores de dominio».

‍

Tenemos acceso administrativo de dominio en un dominio, pero este no es el dominio principal.

Deseche los hashes y pase el hachís

A continuación, extrajimos todo el hash del administrador local del dominio comprometido mediante Metasploit hashdump y pasamos el hash a todos los hosts de la red. Qué pena, la contraseña de administrador no se usa en ningún sitio. Lo confirmamos de nuevo descargando el archivo ntds.dit y comprobando si las contraseñas de usuario se reutilizaban en todos los dominios, pero tampoco tuvimos suerte en este caso

Sigue así, más técnicas

Nos dedicamos con ahínco a los ataques selectivos, tales como Bluekeep, Petit Potam pero todavía no ha tenido suerte para hacerse con el dominio principal. Luego probamos la forma más común y popular de hacer que el DA, es decir, LLMNR y NetBIOS Poisoning, retransmitiese los ataques usando el respondedor, pero aún no tuvimos suerte

Hasta ahora, hemos intentado envenenar con LLMNR y NBT-NS, rociar contraseñas, retransmitir SMB, redirigir LDAP en impresoras, Bluekeep, PetitPotam, etc.

Tiene que haber una forma para una red tan grande (ataque DHCP IPv6)

No es ningún secreto que la red de Windows tiene IPv6 habilitado de forma predeterminada y se prefiere a IPv4. Lo confirmamos ejecutando el tiburón herramienta y observó que varios hosts transmitían el tráfico DHCP IPv6.

‍

Pasamos a falsificar todo el tráfico del dominio especificado usando mitm6 herramienta.

mitm6 -d <domain>//esto falsificará el tráfico de un dominio específico

‍

Tenga en cuenta que el mitm6 emite una concesión de DHCPv6 a los clientes que dura un período de 300 segundos. Esto significa que varias consultas de DNS fallarán y, por lo tanto, los clientes no podrán acceder a los servicios que dependen de los nombres de DNS.

Lo siguiente es transmitir las credenciales a los sistemas que no tienen habilitada la firma SMB. Hemos utilizado ntlmrelayx.py para este propósito.

python3 ntlmrelayx.py -6 -smb2support -tf <target list with smb signing disabled>

Esto realizaría ataques de retransmisión y se autenticaría con las credenciales de destino. Rápidamente conseguimos que un usuario con privilegios se autenticara en uno de los hosts y, además, eliminamos los hashes NTLM del sistema.

‍

Hemos encadenado el botín anterior para atacar todos los hosts y descubrimos que muchos de ellos formaban parte del dominio principal. ¡¡¡Sí, boom!!!

Rápidamente utilizamos el crackmapexec lascíneo módulo para extraer las contraseñas de texto sin cifrar y volcar las contraseñas de varios usuarios que pertenecen al grupo de administradores de dominio y administradores empresariales. Trabajo realizado con un 100% de satisfacción.

Share this post