PRÁTICA
Usaremos o exploit ms13_053_schlampere (exploit/windows/local/ms13_053_schlampere)
* O exploit ms13_053_schlampere utiliza um estouro de pilha kernel no Win32k que permite elevação de privilégios local.
Nos encontramos no meterpreter, atrávés do comando background voltamos para o msfconsole onde faremos uso do exploit desejado. Após preencher os dados do exploit, mandamos explorar.
Agora temos uma sessão do meterpreter em modo administrativo, porém é somente um estouro de pilha na memoria, assim que o computador for reiniciado o processo se fecha e quando o computador voltar a iniciar teremos que reutilizar o exploit.
Não paramos por aqui, o que interessa para nós são as senhas, nos quais podemos obter com o comando hashdump, perceba que as senhas estão em forma de hashes e que seria necessário usar tecnicas de força bruta para a obtenção do texto limpo. Salvamos as hashes em algum documento local e pronto.
O meterpreter nos permite abrir um shell com o comando shell, lembrando que nos encontramos neste meterpreter com privilegios administrativos, logo se abrimos um shell por meio dessa sessão teremos o shell com privilegios administrativos. Aqui poderiamos simplesmente trocar a senha do Administrador local e em seguida ativar a conta, porém devemos destacar que trocar a senha de algum usuario é o mesmo que arrombar uma parede com uma bola de demolição, mesmo que tente reconstruir a parede nunca mais será a mesma e que um invasor jamais faria isso, pois é assinar sua passagem pelo computador, vamos apenas ativar a conta.
*Obs se você não souber o gerenciamento básico de conta no CMD, pesquisa do google tem muita coisa
Então aqui iremos utiizar outro exploit, sendo esse capaz de realizar pass-the-hash ou seja iremos nos autenticar pelo smb (no curto prazo de escaneamento que você realizou percebeu a porta 445 do serviço SMB aberta) simplesmente pelo hash utilizando o exploit psexec_psh (exploit/windows/smb/psexec_psh)
Em SMUser preenchemos com o nome do Administrador que ativamos, SMBPass o hash que salvamos em um arquivo local quando utilzamos o hashdump, Lembrando que preenchemos com o hash correspondente a conta do Admnistrador e por ultimo o campo RHOST com o endereço do computador que “invadimos” as configurações devem ficar parecidas com essa. Em seguida iniciamos a exploração.
Voilá! Teremos uma nova sessão sendo essa autenticada como Administrador atraves do SMB e agora? Até agora não temos a senha limpa. Parou por aqui? Então não iremos conseguir a senha limpa? CALMA! O metasploit como sempre um framework completo, trás o mimikatz como um de seus modulos (OPA! O mimikatz? Ele é um Windows Credentials Editor!! To começando a entender kkk) Agora daremos comando background voltamos o msf em seguida listamos a sessões disponíveis através do comando sessions -l identificando a sessão o qual foi autenticada pelo SMB como administrador entraremos nela através do comando sessions -i n.
*Onde n corresponde ao numero da sessão.
Vamos carregar o modulo do mimikatz através do comando load mimikatz, em seguida o comando msv esse listará as credenciais, mas aindas em forma de hash e por ultimo lançaremos o comando kerberos irá listar as informações do msv, mas perceba que a senha dos ultimos usuários já autenticados encontram-se em texto limpo, ou seja agora finalmente temos o texto limpo do hash do usuário local.
Com essa informação fica fácil ativar o serviço de RDP se achar que é necessáio, embora seja importante lembrar que o Windows Desktop fornece somente uma conexão por vez, ou seja, se você logar como RDP o outro usuário será desconectador notando sua presença, por tanto não aconselho a utilização deste protocolo, se quiser fazer algo parecido, trabalhe com VNC (não há necessidade de senha), pois o cliente continua conectado e não percebe a presença de um segunto usuário.
Este artigo foi escrito e enviado pelo leitor Maxwell Oliveira de Souza Lima. Você pode contata-lo através do Facebook, Youtube e Email (sisinf.max (at) gmail (dot) com).
Você gostaria de ter seu texto aqui na Brutal Security? Entre em contato conosco em um de nossos canais!
0 comentários:
Postar um comentário