RED TEAM
  • Presentación
  • Apuntes Linux
  • Apuntes Blue Team
  • Apuntes Python
  • Ricardev github
  • RECON
    • OSINT
    • DESCUBRIENDO LA RED
      • NMAP NSE
    • SNIFFING
      • TCPDUMP
  • TECHNIQUES
    • FUERZA BRUTA
      • HYDRA
      • MEDUSA
      • JOHN THE RIPPER
      • NCRACK
      • RAINBOW TABLES
      • CHEATSHEET
    • CLAVES RSA DÉBILES
  • WEB HACKING
    • FUZZING
      • GOBUSTER
      • WFUZZ
      • OTRAS HERRAMIENTAS DE RECONOCIMIENTO WEB
    • OWASP TOP 10
      • A1-2017. SQL INJECTION
        • LOGIN FORM BYPASS
        • EXTRACCIÓN DE INFORMACIÓN.
        • SQLI MODIFIED HEADERS
        • BOOLEAN BLIND SQLI
        • TIME-BASED BLIND SQLI
        • AUTOMATIC INJECTION
      • A2-2017. ATAQUES A SISTEMAS DE AUTENTICACIÓN
      • A3-2017 - EXPOSICIÓN DE DATOS SENSIBLES
      • A4-2017. XXE
      • A5-2017. CONTROL DE ACCESO VULNERABLE
      • A6-2017. SEGURIDAD MAL CONFIGURADA
      • A7-2017. XSS
      • A8-2017. DESERIALIZACIÓN INSEGURA
      • A9-2017. USO DE COMPONENTES CON VULNERABILIDADES CONOCIDAS
      • A10-2017. REGISTRO Y MONITOREO INSUFICIENTE
    • SERVICIOS WEB
      • APACHE TOMCAT (RCE)
      • PRTG NETWORK MONITOR (RCE)
  • SERVICES HACKING (BOTH)
    • 20,21 - FTP
      • FTP BOUNCE ATTACK - ESCANEO
      • FTP BOUNCE ATTACK- DESCARGA DE OTRA FTP
    • 23 - TELNET
    • 25, 465 587 - SMTP
    • 111, 2049 - RPCBIND Y NFS
    • 161,162,10161,10162/udp - SNMP
      • SNMP (RCE Linux)
    • 445 - SMB
      • ETERNALBLUE
    • 3306 - MYSQL
  • SERVICES HACKING (LINUX)
    • 3632 - DISTCCD
  • SERVICES HACKING (WINDOWS)
    • 135, 539 - MSRPC
    • 389, 636 - LDAP / LDAPS
    • 1443 - MSSQL
  • ACTIVE DIRECTORY HACKING
    • CREANDO UN LABORATORIO DE AD
      • 1. Instalación de Windows Server 2016
      • 2. ROL DE ACTIVE DIRECTORY
      • 3. MALAS PRÁCTICAS NECESARIAS
    • CONCEPTOS
      • SPN Y KERBEROS
    • ENUMERACIÓN
      • BLOODHOUND
    • ATAQUES
      • SMB RELAY
      • NTLM RELAY
      • KERBEROASTING
      • AS_REP ROASTING
  • PRIVESC
    • WINDOWS
    • LINUX
      • LXD/LXC GROUP
  • EXFILTRACIÓN
    • EXFILTRANDO INFORMACIÓN
  • SHELL AND POWERSHELL TRICKS
    • Transfiriendo datos (traducir)
    • MEJORANDO SHELL A TTY INTERACTIVA (Traducir)
  • PWN LINUX
    • CREANDO UN LABORATORIO SIN MITIGACIONES
    • TEORÍA
      • ESTRUCTURA DE UN BINARIO DE LINUX
        • HERRAMIENTAS
      • ENSAMBLADOR
      • CONVENCIÓN DE LLAMADAS
      • MITIGACIONES
      • SYSCALL Y SHELLCODE
      • FORMAT STRING
      • RETURN-ORIENTED PROGRAMMING
        • GADGETS
    • ESTRATEGIAS DE EXPLOIT
      • STACK EXPLOITS
        • ATAQUE “SMASH THE STACK” SENCILLO
        • ATAQUE RET2WIN
        • ATAQUE RET2SHELLCODE
        • ATAQUE FORMAT STRING RET2SHELLCODE 2 BYTES
        • ATAQUE FORMAT STRING RET2SHELLCODE 4 BYTES
        • CANARY BYPASS
        • ATAQUE RET2LIBC
    • PRÁCTICA
      • PHOENIX
        • SETUP
        • STACK-ZERO amd64
        • STACK-ONE amd64
        • STACK-TWO amd64
        • STACK-THREE amd64
        • STACK-FOUR amd64
        • STACK-FIVE amd64
        • STACK-SIX amd64
        • FORMAT-ZERO amd64
Con tecnología de GitBook
En esta página
  • EXPLICACIÓN
  • 1. GENERAR RECURSO COMPARTIDO SMB
  • Comprobar nuestro recurso compartido
  • 2. Desactivar el Firewall de Windows
  • 3. Desactivar las protecciones del Antivirus de Windows Defender
  • 4. Crear usuario Administrador con Password Temporal
  • 5. Asignar un SPN al usuario creado
  • 6. Desactivar la firma digital por defecto
  • 7. Convertir un usuario en Administrador local de los clientes
  • 8. Generar carpetas compartidas con los administradores locales
  • 9. Marcar la Opción "No requiere preautenticación de Kerberos"

¿Te fue útil?

  1. ACTIVE DIRECTORY HACKING
  2. CREANDO UN LABORATORIO DE AD

3. MALAS PRÁCTICAS NECESARIAS

Por último, vamos a configurar el AD de manera que podamos explotarlo por diferentes médios.

Anterior2. ROL DE ACTIVE DIRECTORYSiguienteCONCEPTOS

Última actualización hace 3 años

¿Te fue útil?

EXPLICACIÓN

A continuación se van a desarrollar una serie de configuraciones que son potencialmente peligrosas y, sin embargo, son habituales en los entornos empresariales reales.

De esta manera podremos desplegar nuestras herramientas y explotar las mismas vulnerabilidades que encontraríamos en un ambiente real.

Note que las siguientes imagenes son de la guía que realizó S4vitar en el siguiente por lo que el nombre de equipo del DC así como el nombre del dominio no coincidirán con el que haya puesto usted.

1. GENERAR RECURSO COMPARTIDO SMB

La primera configuración potencialmente peligrosa que voy a mostrar es la de generar un recurso compartido por el protocolo SMBv2.

Es una práctica habitual ya que en casi todas las organizaciones es necesario compartir recursos. El problema está en combinar ésta práctica con algunas de las siguientes.

Para ello:

Comprobar nuestro recurso compartido

En uno de los equipos cliente que hayamos creado y una vez estemos autenticados dentro del dominio, hacemos lo siguiente:

2. Desactivar el Firewall de Windows

É​sta es una práctica habitual en organizaciones que utilizan aplicaciones que requieren conexión a internet. En vez de configurar correctamente el Firewall, lo desactivan y así evitan problemas de cara a dichas aplicaciones.

En los equipos cliente utilizamos a Cortana o el buscador para buscar Firewall de Windows Defender.

Una vez ahí en el panel izquierdo buscamos la opción Activar o desactivar el Firewall de Windows Defender.

Al realizar cualquier cambio nos pedirá los credenciales de Administrador.

3. Desactivar las protecciones del Antivirus de Windows Defender

Esto ocurre por un motivo parecido a la configuración anterior. Algunas organizaciones comienzan a tener problemas de falsos positivos con sus activos en el Antivirus de Windows Defender. En vez de solucionarlo con el servicio técnico de Microsoft o cambiar de Antivirus, la solución más sencilla es desactivarlo por completo, dando vía libre a los ataques más sencillos.

Para ello desactivaremos las protecciones del antivirus, sobre todo la Protección en tiempo real.

É​ste paso debe comprobarse tras cada reinicio de la máquina ya que la Protección en tiempo real se activa por defecto tras cada reinicio del sistema.

En los equipos cliente utilizamos a Cortana o el buscador para buscar Seguridad de Windows.

Buscamos el acceso a Protección contra virus y amenazas.

4. Crear usuario Administrador con Password Temporal

Tambien nos podemos encontrar con usuarios de caracter temporal a los que se les añaden comentarios para que el Administrador de dominio los tenga controlados.

5. Asignar un SPN al usuario creado

Utilizando el mismo usuario que hemos creado anteriormente, le vamos a dar un SPN (Service Principal Name o Nombre de entidad de seguridad de Servicio en castellano).

Que es un SPN

Es un ID único vinculado a servicios en los servidores. Este SPN es utilizado en la autenticación Kerberos. Con el SPN los clientes pueden identificar un servicio en la red.

Donde se almacenan

Para registrar un SPN el equipo y el servidor deben estar en el mismo dominio Windows o dominio de confianza. Este registro se guarda en el Active Directory.

Generar el SPN

Utilizando cmd en el DC: setspn -a DC-01/admintest@laboratorio.local:60111 laboratorio\admintest

Comprobar el SPN

setspn -T laboratorio.local -Q */*

6. Desactivar la firma digital por defecto

De la misma manera, es muy habitual que la firma digital se encuentre desactivada para evitar que los usuarios tengan que generar claves y puedan perderlas y (vaya coincidencia) poner en riesgo la seguridad de la empresa.

Para ello, realizamos el siguiente procedimiento en el DC.

Una vez ahí cambiamos a deshabilitadas las siguientes directivas:

  • Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite)

  • Cliente de redes de Microsoft: firmat digitalmente las comunicaciones (siempre)

Despues de ésto podemos utilizar cmd para utilizar el comando gpupdate o podemos reiniciar el DC y cuando se haya reiniciado, reiniciar los clientes. De esta manera deberían actualizarse las políticas de grupo correctamente.

7. Convertir un usuario en Administrador local de los clientes

En las empresas grandes, el administrador de dominio suele tener tanto trabajo que necesita de administradores locales para redes más pequeñas. Igual que utilizar SMBv2, ésta no es una práctica peligrosa en sí misma pero puede serlo si la unimos con algunas de las anteriormente explicadas.

En este caso, vamos a convertir uno de nuestros dos usuarios creados al principio (usuarios con bajos privilegios) en Administrador local de los dos equipos clientes. Para ello:

Esto se hace en el equipo que no es el del usuario que vamos a promover a Administrador local. Es decir, en el otro cliente.

En la siguiente foto veremos que Victor García que es el usuario habitual de ésta máquina, es tambien administrador local de la misma. Ésto es así por defecto ya que la hemos iniciado con su usuario. Sin embargo, no es administrador cuando se autentica dentro del dominio.

En cambio, el usuario mvazquez que NO es usuario habitual de esta máquina, si que es administrador local cuando está autenticado dentro del dominio.

8. Generar carpetas compartidas con los administradores locales

Como ya estamos viendo, éstas practicas no son peligrosas por sí solas, pero en este momento, ésta carpeta compartida es una puerta abierta para diferentes ataques.

La generamos de la siguiente manera:

Ya tenemos la carpeta compartida.

9. Marcar la Opción "No requiere preautenticación de Kerberos"

Otra mala práctica que nos pone en el punto de mira del AS_REP Roast Atack es activar la opción de un usuario (y mas si es administrador) "No requiere preautenticación de Kerberos".

Para conseguirlo, primero entramos en el DC en "Usuarios y Grupos de Active Directory.

Una vez ahí, seleccionamos el usuario que queremos modificar con doble click y en la pestaña "Cuenta" buscamos la opcion (que es la última). La marcamos y aplicamos los cambios.

SPN Y KERBEROS
video
En el panel lateral seleccionamos Servicios de archivos y de almacenamiento.
Nos dirigimos a la pestaña de Recursos compartidos.
En el Controlador de Dominio creamos una carpeta que se llamará Archivos en C:\
Creamos un nuevo recurso compartido:
Utilizamos el perfil rápido
Indicaremos nuestra ruta a la carpeta creada.
Tendremos que tener en cuenta que al PATH para acceder a este recurso compartido será el siguiente
Habilitamos en la siguiente ventana la opción ‘Habilitar enumeración basada en el acceso’.
Ya tenemos nuestro recurso compartido
Dentro de Este equipo, utilizamos el botón Conectar a unidad de red (arriba).
Indicamos la ruta a la unidad de red con la que nos queremos sincronizar.
Y una vez finalizado, deberíamos ver la siguiente ubicación de red desde el equipo.
Finalmente, desactivamos todas las opciones del firewall.
Clicamos en Administrar la configuración
Ésto es lo que nos encontramos.
Lo debemos dejar así. Nos pedirá credenciales de administrador para cada acción.
En la pestaña ‘Herramientas’, nos vamos a la opción que pone ‘Usuarios y equipos de Active Directory’
En Users utilizando click derecho buscamos Nuevo / Usuario
Le ponemos un nombre significativo
La contraseña que queramos y que nunca expire.
Como Administrador, ponemos la contraseña temporal en la descripción para que no se nos olvide.
Añadimos a este nuevo usuario a Administradores del dominio.
Queda de la siguiente manera.
Buscamos el gestor de politicas de grupo.
A continuación le damos a Editar... al Default Domain Policy.
Nos dirigimos a las Opciones de seguridad en las Directivas Locales.
Buscamos Administrador de equipos y lo ejecutamos con privilegios de Administrador.
Dentro de la pestaña de Grupos accedemos al grupo Administradores.
Con el botón Añadir, añadimos (Por Ejemplo) a Marcelo Vazquez al grupo de Administradores.
Ya tenemos a mvazquez en su puesto de Administrador Local.
Creamos una carpeta en C: y clicamos en compartir
Veremos algo parecido a esto.
Añadimos al usuario administrador local (mvazquez P.E.) con permisos totales.
Usuarios y Equipos de Active Directory
Cambios aplicados sobre el usuario SVC-SQLService.