Gospel

Taller prctico de Intrusin en Redes Locales

Practica 2 Obtener la contrasea de Windows de un usuario de nuestra red local.

Teora: El equipo atacante coloca un Sniffer a la escucha, de forma que es capaz de capturar todo el trfico que pasa por su tarjeta de red. Cuando un usuario vctima inicia sesin en el equipo atacante para acceder a sus recursos compartidos, el Sniffer captura el hash desafo-respuesta intercambiado y despus de crackearlo por fuerza bruta, se obtiene la contrasea de Windows del usuario vctima que inici sesin en el equipo atacante. Breve explicacin del proceso de Autenticacin de Windows en red: Windows 2000 y XP utilizan de forma predeterminada un mecanismo de autenticacin basado en desafo / respuesta para validar. De este modo, ni la contrasea ni el hash aplicado viajan por el cable. El proceso ocurre as: - El cliente (vctima) solicita el inicio de sesin en el servidor (atacante). - El servidor emite un desafo al cliente. - El cliente cifra el desafo con el hash de la contrasea de usuario y la reenva al servidor. - El servidor compara la respuesta (desafo hasheado) con el propio hash del desafo y entonces permite o deniega el inicio de sesin. Cmo se obtiene el hash? Se ha dicho que el verdadero hash y la contrasea no viajan por el cable de conexin, pero s la respuesta hasheada al desafo. El algoritmo de hash lo divide en dos grupos de 8 Bytes. Los primeros 8 Bytes guardan los 7 primeros caracteres de la contrasea hasheada y los segundos 8 Bytes guardan los caracteres n 8 y sucesivos. Una vez obtenidos los hashes, bastar con probar por fuerza bruta todas las combinaciones posibles para cada grupo de Bytes e ir aplicando la funcin hash hasta encontrar una que coincida con el resultado. Entonces ya tendremos el hash verdadero. Aplicacin prctica: Sniffado Escenario: Atacante: 10.10.0.69 Vctimas: Todos los posibles equipos de la red local que inicien sesin en el equipo atacante. Herramientas: Vamos a utilizar el sniffer Can @ http://www.oxid.it/

elhacker.net : PAPERS

Gospel Procedimiento:

Taller prctico de Intrusin en Redes Locales

1. Instalar, configurar y poner en funcionamiento el Sniffer Can en el equipo atacante. Lo siguiente es scannear la red en busca de Hosts. Nos vamos a la pestaa Sniffer, subpestaa Hosts:

Segn la imagen, pulsando el botn + recuadrado con marco azul, podremos scannear todo el rango de IPs de nuestra red local para descubrir a los Hosts conectados a la misma. Para mayor comodidad, Can tambin permite resolver los nombres de equipos (Hostnames) Ahora ya podemos comenzar a Sniffar, pulsando el botn recuadrado en rojo. 2. Lo siguiente es atraer a estas vctimas potenciales. Para ello, nada mejor q ofrecerles una carpeta compartida con un nombre sugerente: Pelculas. Lo dicho, compartimos en red una carpeta llamada Pelculas.

elhacker.net : PAPERS

Gospel

Taller prctico de Intrusin en Redes Locales

3. Al cabo de un rato, ciertos usuarios de la red local accedern a Mis Sitios de Red desde sus respectivos equipos y encontrarn que el equipo atacante comparte una carpeta llamada Pelculas. Atrados por la curiosidad, intentarn acceder a esta carpeta para ver su contenido. Es en este momento cuando nuestro Sniffer Can entra en accin! 4. Uno por uno, todos esos usuarios que iniciaron sesin en el equipo atacante para acceder al recurso compartido sern logueados en la pestaa Sniffer, subpestaa Passwords, Protocolo SMB:

El Log del Sniffer guardar el TimeStamp, Servidor Local SMB (atacante), Cliente Origen (vctima), Nombre del Usuario vctima, el Tipo de Autenticacin utilizado durante el inicio de sesin, el Hash LM, el Hash NT, etc. Podis comprobar que el campo Password aparece en blanco, ohh!!! Pero es que no iba a ser tan fcil

elhacker.net : PAPERS

Gospel

Taller prctico de Intrusin en Redes Locales

5. Para obtener la contrasea tenemos que crackear los hashes obtenidos. Nada ms fcil que utilizar para ello el propio Crackeador que incorpora Can. As pues, elegimos el usuario vctima cuyo hash queremos crackear y lo enviamos al Crackeador:

En la pestaa Cracker, encontraremos aquellos usuarios cuyos hashes vamos a proceder a crackear. Podemos crackear estos hashes a travs de Ataque por Diccionario o bien por Fuerza Bruta.

Despus de un tiempo indefinido, el Crackeador habr encontrado la cadena de caracteres tal que, al utilizarla como clave de cifrado para el desafo conocido y comparando el resultado con el hash cifrado por el cliente vctima, da xito. Obtenemos, pues, el password del usuario vctima:

6. Y qu podemos hacer con la contrasea del Usuario vctima? Muchos de vosotros ya os estaris frotando las manos pensando en la cantidad de maldades que podis llevar a cabo conociendo la contrasea de un usuario vctima de vuestra red local. Menos mal que estoy yo aqu para decepcionaros y deciros que con esta contrasea podris hacer ms bien poco Hey, pero y si la contrasea es de un usuario con privilegios de Administrador? Pues lo mismo, ms bien poco

elhacker.net : PAPERS

Gospel

Taller prctico de Intrusin en Redes Locales

Si la vctima utiliza: - Windows 2000 con privilegios de Administrador - Windows XP con privilegios de Administrador y, adems, este Windows XP pertenece a un dominio. a) Conectar como unidad de red local sus particiones lgicas que todos los Windows basados en tecnologa NT comparten de manera administrativa. Es decir, podis conectaros a su C$, D$... de forma remota, con privilegios de Administrador: leer, escribir, mover, etc. El comando para agregar como unidad de red local una unidad remota compartida es el siguiente: C:\>net use x: \\10.10.0.254\C$ xxxxxxxx /user:MINIGOSPEL\Minigospel

b) Conseguir una shell remota con la utilidad PSEXEC. Para ms informacin, consultar el excelente artculo de Vic_Thor: Queris una Shell? pues TOMAD UNA SHELL @ http://www.hackxcrack.com/phpBB2/viewtopic.php?t=5026 c) Conseguir un control grfico con la utilidad ATELIER WEB REMOTE COMMANDER. Para ms informacin, consultar el excelente artculo de Vic_Thor: Queris Control Remoto? Pues Tomad CONTROL REMOTO @ http://www.hackxcrack.com/phpBB2/viewtopic.php?t=6250

Si la vctima utiliza: - Windows XP sin pertenecer a un dominio. No podris conseguir nada. Ya que Windows XP no acepta conexiones remotas utilizando cuentas de usuario.

Documentacin La mayor parte del contenido de este escrito est basado en: FAQ CONSEGUIR LA CONTRASEA DEL ADMINISTRADOR Documento creado por Vic_Thor. @ http://www.freewebs.com/victhor/hxc/FAQ/faq2.pdf

Gospel @ unrayodesoul[at]hotmail[dot]com

elhacker.net : PAPERS