miércoles, 5 de junio de 2013

WCE: Windows Credential Editor

Hace poco os conté cómo me había olvidado de la contraseña del administrador de mi equipo, de las técnicas que utilicé para intentar recuperarla y de las que hubiera siguiendo utilizando de haberme hecho falta.

Pues bien, una de ellas era utilizar Windows Credential Editor. Esta herramienta, que los antivirus la detectan como una potencial amenaza, permite mostrar los usuarios de Windows, con sus contraseñas... en claro. Y no requiere de un diccionario para mostrarlas. En pocos segundos, no más de 5 o 10, nos las saca.

¿En qué se basa para obtenerlas? Si lo cuento yo, así, de memoria, las obtiene a partir de un servicio esencial de Windows que se llama lsass.exe. Si no me equivoco, y no he podido corroborarlo, este proceso es capaz de devolver la contraseña en base64. Y ahí es cuando se puede descifrar al texto plano. Para más información, en la cuenta de Shileshare de la RootedCon están las diapositivas de la presentación de la herramienta en 2011.

Ahí es nada. A donde iba. La cosa es que en ese momento, cuando quise utilizar esta herramienta, tuve varios problemillas. El primero de todos, y el que más fácil es de solventar, es que para lanzar la herramienta no puedes hacerlo con permisos de usuario mortal:

Lanzando WCE sin permisos
Lanzando WCE sin permisos
Por lo tanto, voy a elevar privilegios en la consola para poderlo lanzar en condiciones. Y, para mi sorpresa, me dice exactamente lo mismo. Es muy, muy raro. Si lo pruebo en la máquina virtual, instalada como 32 bits, me da el mismo aviso estando tanto como usuario normal como habiendo elevado privilegios. Si lo hago en mi equipo, que es 64 bits, me permite solicitar la ayuda siendo usuario mortal

Pidiendo ayuda en WCE sin privilegios. No permite listar los usuarios
Pidiendo ayuda en WCE sin privilegios. No permite listar los usuarios
Y, si intento listar los usuarios y su contraseña, tanto en LM como en NTLM:

Listando los usuarios y sus contraseñas cifradas
Listando los usuarios y sus contraseñas cifradas
Ahora, tocaría mirar las contraseñas sin cifrar, pero, no acaba siendo así:

WCE -l -w: Imprimir contraseñas en clear text. Pero no funciona
WCE -l -w: Imprimir contraseñas en clear text. Pero no funciona
Como podéis ver, no acaba de funcionar. En teoría, debería de mostrarlo. También hay que tener en cuenta que según las propias instrucciones, hay que haber explotado alguna vulnerabilidad para que funcione. El día que haga un artículo sobre la explotación de vulns utilizando metasploit, a ver si lo incluyo, que seguro que ahí sí que funciona. Porque ni siquiera con la máquina virtual, haciendo el "truco de los 5 shitfs", funciona. 

Al menos, os he enseñado lo que me hizo exactamente aquel día. 
Publicado por agux en 07:15
Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)