Ya se que este tema se ha tratado en multitud de blogs y que este post en concreto no acaba siendo obra mía. Pero, como últimamente acumulo muchas cosas por leer y aprender y me gustaría tenerlas a buen recaudo por si algún día las necesito, aquí lo dejo por si las moscas. Y, si a alguien le resulta de utilidad, pues bienvenido sea, ¿no?
Aquí dejo un resumen de una serie de posts que han escrito sobre los dumps de los hashes en sistemas Windows. Ya he hablado unas cuantas veces de este tema, y, he de reconocer, cada vez que leo algo al respecto, acabo aprendiendo más, o, como mínimo, asentando mejor lo que ya conocía.
Este primer artículo nos habla de cómo obtener los hashes en modo offline. O también, herramientas como kon-boot (esta la probé hace tiempo), BootRoot o SysRQ2, para (descrito un poco a lo burro) que salte el kernel y entrar en el sistema sin que el usuario seleccionado pida la contraseña. Eso sí, cuando probé el kon-boot, si se tenía puesto el Syskey, éste no se lo saltaba.
Otra posibilidad es resetear la contraseña de un usuario local con chntpw.
Más posiblidades explicadas en el artículo (y que también explicaban en el FTSAI): hacer un backup del sistema (el resgistro, al menos: SYSTEM y SAM). Después, lo volcabas a otra unidad o carpeta y a partir de ahí, ya que no estaba en uso, podías leer los datos, desde, por ejemplo, Caín.
Más técnicas: el uso de shadow copies, herramientas como regback.exe...O, las herramientas que permiten hacer el dump desde memoria: pwdump6, pwdump7, fgdump, gsecdump, PWdumpX... (de las que también nos hablaron en el FTSAI). En general, y según he podido entender, alguno de estos métodos permiten inyectar en el servicio LSASS datos que permiten recuperar los hashes. Eso sí, se pueden producir BSODs.
El segundo post tratan el cómo obtener los hashes de un Active Directory. Para ello hará falta acceder a la base de datos que utiliza, y que se encuentra en %SystemRoot%\ntds\NTDS.DIT. También lo puedes obtener desde una copia del fichero SYSTEM. Una forma de poder hacer una copia de esos ficheros sería utilizar el comando ntdsutil que se encuentra a partir de los sistemas operativos Windows 2008.
Alguna de las herramientas que nos permita sacar las contraseñas serían Windows Password Recovery Tool o ntds_dump_hash.
Y, la tercera parte, nos habla sobre los históricos de las contraseñas (muy comunes en entornos corporativos y de AD). Sobretodo porque si se usan patrones, consiguiendo alguna contraseña antigua se podría encontrar la actual. También las contraseñas que se utilizan en servicios del sistema y para el autologon: encontrándose estas dos últimas en el LSA Secrets. La herramienta ya mencionada gsecdump se puede utilizar para obtenerlas. Sea cual sea la herramienta utilizada para obtener este tipo de contraseñas, se podrá conseguir en texto claro.
Además, sabiendo que se hay servicios arrancados con usuarios que son "Administradores de Dominio" o, incluso, "System", el agujero que tendremos en el sistema será de órdago.
lunes, 27 de agosto de 2012
miércoles, 22 de agosto de 2012
¿Han entrado en nuestra página?
Un nuevo tweet para tener en cuenta si alguien manipulase nuestro servidor del histing, hiciese un deface, robase datos...
De todas formas: ¿alguna cosa más que creéis que hay que hacer en estos casos?
Your site is hacked, now what? http://t.co/0DmbiRBm -- Team Cymru (@teamcymru)Muy interesante. Incluso había cosas que, aun teniendo toda la lógica del mundo, no las sabía. Aún así, yo incluiría una más que es, que, aún teniendo los conocimientos técnicos para realizar el análisis uno mismo, creo que sería recomendable avisar a un tercero para que lo haga sin comprometer las evidencias y así mantener la independencia en... ¿el caso? Bueno. No se si me he explicado bien. Pero, ahí lo dejo...
De todas formas: ¿alguna cosa más que creéis que hay que hacer en estos casos?
domingo, 19 de agosto de 2012
Antología: bits&bytes
Es increíble lo que se encuentra en una casa, donde, de toda la vida, ha habido ordenadores, cuando se hace limpieza. Hoy, toca hacer una antología.
Por ejemplo: Encontrarse un manual de usuario, de casi 200 páginas, de un Commodore64:
Por ejemplo: Encontrarse un manual de usuario, de casi 200 páginas, de un Commodore64:
Manual de usuario de un Commodore64
Dentro del cual había una factura de la compra del mismo, con su garantía de 6 meses:
Garantía de 6 meses
Incluso, en la factura de atrás, tenemos lo que costó, y lo que nos llevamos:
Factura de la compra
Como podéis ver, compramos (compraron) el Commodore, 1 cassette para las cintas y 2 joysticks. ¡¡¡Y yo apenas llegaba a los 2 años!!!
He de decir que esta factura y la garantía las he encontrado por buscar el número de páginas que tiene el libro. Si no llega a ser por eso, ni me enteraba que estaban ahí.
¿Qué más he econtrado? Ya que estamos con el tema del Commodore, hay otro librito de, pero para uno 128:
Manual Commodore128
La de horas que estuve jugando con este ordena. Era el equipo que se ve en la imagen del manual, la fuente de alimentación, el cassette, los joysticks y... este televisor:
Televisor que se utilizaba como monitor
Este televisor (que, como se puede ver, aún funciona), lo utilizábamos como monitor. Le dábamos a la tecla encendida/recuadrada en verde. Después conectábamos un cable... ¿de antena? al conector con el cuadro en rojo y... ya estábamos listos para trastear!!!
Eso no es lo único que he encontrado. También ha aparecido un diskette, como no, de uno de los Commodores, de 5 y 1/4:
Diskette 5 y 1/4
Aquí no acaba la cosa. También han aparecido... ¡¡unas tarjetas perforadas!!
Tarjetas perforadas
Ahora, una pregunta: ¿Quién ha instalado Windows 95 con diskettes? En mi casa, se hizo:
Diskettes 3 y 1/2 de Windows95
De los que constaba de...13 discos. ¡13!
Disco 13
También hay alguna que otra cosa más que ha aparecido. Por ejemplo, un libro de Basic para niños:
Basic para niños
Cuando copiaba los programas, sin entender qué hacían realmente, me alucinaba lo que se llegaba a conseguir. Incluso era una edad (evidentemente, con 6 o 7 años [u 8 o 9], viendo Juegos de Guerra) en la que te creías que los ordenadores tenían lo que una década después se conocía como Inteligencia Artificial).
¿Qué más cosas han aparecido? Algún que otro diskette que pone "MS-DOS 3/4", "DOS 5.0", "D0S 6.2"... Y, no se por qué me da la sensación de que en algún sitio debería de estar el Windows 3.5 (update:Windows 3.11). No se. Alguna cosa que he visto: Leisure Suite Larry. ¿Puede que fuera un juego para adultos? Buscando, buscando... Bueno. En el enlace cuentan un poco, pero, en efecto, un juego para adultos. También hay diskettes con referencia a Artemis. Me sonaba que era un bicho, pero, no estoy muy seguro. Si alguien lo puede corroborar... Porque hay información de que parece que sea también un escudo de McCaffee (o como se escriba).
Como podéis ver, aquí hay un montón de joyas que uno no sabe que aún las tiene si no llega a ser porque se está haciendo una buena limpieza.
Ahora, dejo caer la pregunta. ¿qué reliquias de este tipo almacenáis en vuestras casas?
viernes, 17 de agosto de 2012
Retardo en el login
Una rápida:
Un tweet de Mark Russinovich:
Great use of Process Monitor boot logging to solve a slow boot problem: http://t.co/JgiSj8aw -- Mark Russinovich (@markrussinovich)
Una mas de Sysinternals: localizar qué software retrasa el arranque del sistema más de 2 minutos con “process monitor“.
jueves, 16 de agosto de 2012
Vulnerabilidad con .htaccess
Lo se. Esto se publicó recientemente. Pero bueno. Tenerlo por aquí escrito no vendría nada mal (así, si en algún momento tengo que consultarlo, lo busco aquí, ¿no?).
He podido ver desde un tweet
BlackHat 2012: nueva vulnerabilidad en .htaccess: Como ya comentamos, algunos integrantes del equipo de Laborato... http://t.co/HruAtlr1 -- hackplayers (@hackplayers)
una publicación por parte de ESET.
Esto es lo que he podido entender (por favor, si no es correcto en términos generales, que alguien me lo diga!!):
Para evitar que se pueda acceder a una carpeta, se utiliza un fichero .htaccess con el siguiente contenido:
require valid-user
He podido ver desde un tweet
BlackHat 2012: nueva vulnerabilidad en .htaccess: Como ya comentamos, algunos integrantes del equipo de Laborato... http://t.co/HruAtlr1 -- hackplayers (@hackplayers)
una publicación por parte de ESET.
Esto es lo que he podido entender (por favor, si no es correcto en términos generales, que alguien me lo diga!!):
Para evitar que se pueda acceder a una carpeta, se utiliza un fichero .htaccess con el siguiente contenido:
También indica que si utilizando PHP éste no conoce el método, lo tomará como si se hubiese enviado utilizando el method GET de tal forma que no habrá request y, por lo tanto, no se producirá la autenticación.
Al final, aunque no se pueda "entrar" directamente en la carpeta, se podrán descargar los archivos que ésta contiene.
¿Cómo protegerse? Recomiendan dos formas:
- Impedir la utilización de métodos poco conocidos o no utilizados. Un ejemplo (que ellos mismos ponen, y que yo reproduzco):
Order Allow,Deny
Deny from all
- Mirar si la variable $PHP_AUTH_USER tiene los datos esperados.
- Cuando $_SERVER["REQUEST_METHOD"] no contenga GET o POST.
Para hacer el PoC, ya hay una herramienta, HTExploit, que permite automatizar el proceso. Evidentemente, sólo se deberá utilizar en aquellos sitios donde tengamos permiso. Pase lo que pase tras su utilización, el usuario es el responsable de las consecuencias que de ello se produzcan.
viernes, 10 de agosto de 2012
Nevando en Youtube
Uno rápido.
Hoy, visitando una vídeo en uno de los sitios más famosos de vídeos, se ha producido un error y, me he llevado una sorpresa. ¡Había nieve en Youtube! ¿Que no os lo creéis? Mirad, mirad...
Nevando en Youtube
Sí. Eso es. Ahora, cuando se produce un error al ver un vídeo, "nieva" en Youtube. ¿Qué os parece? Si. Es una pequeña chorrada, pero, cuanto menos, curiosa. ¿Verdad?
lunes, 6 de agosto de 2012
Desbloqueando el usuario bloqueado
Vamos a ponernos en situación.
Queremos acceder a un sistema Windows con el login de Novell.
Queremos acceder a un sistema Windows con el login de Novell.
01 - Login al directorio Novell desde Windows. Img original
Así, intentamos introducir nuestra contraseña y no nos deja. Nos aseguramos que la hemos puesto bien... Y tampoco. Total, usuario bloqueado. Y te das cuenta de que, por una extraña razón, no estaban entrando bien los caracteres. Aún así, consigues que salgan bien, pero, tu cuenta está bloqueada. Y tienes que poner una incidencia para que te la desbloqueen. Pero, se te ocurre una forma. Coges, y seleccionas que te permita loguearte en local:
02 - Login en local - Img original
Y... oh!! Sopresa!!! ¡He entrado!! Curioso. ¿verdad? Pero, aún hay más. Ahora, quiero ver si puedo entrar en el árbol del directorio.
03 - Solicitar login al directorio con el login en local (workstation) - Img original
Tras lo cual, aparecía una vez más la imagen 01. Y... ¡oh, sopresa! Nos permite entrar:
04 - Acceso concedido y acciones posteriores al login en ejecución. Img original,
¿A que es curioso que se desbloquee solito el usuario del árbol de dominio cuando te logueas en local? No se. Me ha llamado mucho la atención. Además, hay que tener en cuenta que no tenemos la consola en las sticky keys activiada. Claro, hay que tener en cuenta que ése usuario tiene que estar en el sistema local. En ese caso, si no bloqueas el de la workstation, entrarás sin problemas. Pero, una vez dentro, no debería dejar entrar en el árbol.
¿Se os ocurre la razón por la que estoy pueda suceder? ¿Se os ocurre otra forma de "reactivar" el usuario sin tener que llamar al CAU?
Suscribirse a:
Entradas (Atom)
