2. Funcionamiento de la validación de
credenciales
• Las credenciales se encuentran en memoria, hay que recordar que
la contraseña nunca se encuentra en texto plano y si en formato
hash, o en algunos casos en una codificación sencilla. Las
credenciales son almacenadas en el proceso LSASS.EXE, este
proceso se encarga de administrar la autenticación de dominios de
autoridad de seguridad local y el directorio activo.
3. Funcionamiento de la validación de
credenciales
• Para un proceso de suplantación de identidad se quiere sustituir las
credenciales en memoria por las que le interesa suplantar.
• En la fase de inicio de sesión interactivo, el proceso WINLOGON.EXE es el
encargado de interceptar el proceso de validación. Cuando se valida al
usuario se produce la invocación de LSALogonUser para autenticar en la
base de datos SAM (local o remota), permitiendo crear la sesión si se
autenticó correctamente.
4. Funcionamiento de la validación de
credenciales
• Esta información será utilizada por LAN Manager y otros servicios
cuando el usuario intente acceder a recursos remotos, objetos
locales y al utilizar sus privilegios.
5. PoC: Llegando mas lejos gracias a la
suplantación de identidades
• El escenario que se propone en esta prueba de concepto es el de un
auditor que se encuentra en la fase de post-explotación, ya que ha
conseguido acceso a una maquina de la red de la empresa que esta
auditando. La maquina vulnerada no es una maquina,
aparentemente, relevante, pero al parecer varios de los usuarios
que se encuentran en dicha maquina también existen en otras
maquinas de la red.
6. PoC: Llegando mas lejos gracias a la
suplantación de identidades
• A continuación se dan más detalles del escenario:
• El auditor dispone de una maquina con Kali, Bactrack, BackBox o
Buqtraq o cualquier otra maquina de esta índole en seguridad.
• La maquina vulnerada por el auditor tiene como sistema operativo
Windows XP SP3
• La maquina a la que se quiere acceder es unWindows 7
7. PoC: Llegando mas lejos gracias a la
suplantación de identidades
• El punto de partida es la sesión de Meterpreter que tiene el auditor
en la maquina vulnerada de Windows XP SP3. mediante el uso del
comando hashdump se puede obtener el listado de usuarios con los
hashes LM y NTLM.
8. PoC: Llegando mas lejos gracias a la
suplantación de identidades
Obtención de los usuarios y hashes mediante una sesión de
Meterpreter