Escalação de privilégios - Parte 2

PRÁTICA

Usaremos o exploit ms13_053_schlampere (exploit/windows/local/ms13_053_schlampere)

* O exploit ms13_053_schlampere utiliza um estouro de pilha kernel no Win32k que permite elevação de privilégios local.

Nos encontramos no meterpreter, atrávés do comando background voltamos para o msfconsole onde faremos uso do exploit desejado. Após preencher os dados do exploit, mandamos explorar.

Agora temos uma sessão do meterpreter em modo administrativo, porém é somente um estouro de pilha na memoria, assim que o computador for reiniciado o processo se fecha e quando o computador voltar a iniciar teremos que reutilizar o exploit.

Não paramos por aqui, o que interessa para nós são as senhas, nos quais podemos obter com o comando hashdump, perceba que as senhas estão em forma de hashes e que seria necessário usar tecnicas de força bruta para a obtenção do texto limpo. Salvamos as hashes em algum documento local e pronto.

                             

O meterpreter nos permite abrir um shell com o comando shell, lembrando que nos encontramos neste meterpreter com privilegios administrativos, logo se abrimos um shell por meio dessa sessão teremos o shell com privilegios administrativos. Aqui poderiamos simplesmente trocar a senha do Administrador local e em seguida ativar a conta, porém devemos destacar que trocar a senha de algum usuario é o mesmo que arrombar uma parede com uma bola de demolição, mesmo que tente reconstruir a parede nunca mais será a mesma e que um invasor jamais faria isso, pois é assinar sua passagem pelo computador, vamos apenas ativar a conta.

*Obs se você não souber o gerenciamento básico de conta no CMD, pesquisa do google tem muita coisa

                               

Então aqui iremos utiizar outro exploit, sendo esse capaz de realizar pass-the-hash ou seja iremos nos autenticar pelo smb (no curto prazo de escaneamento que você realizou percebeu a porta 445 do serviço SMB aberta) simplesmente pelo hash utilizando o exploit psexec_psh (exploit/windows/smb/psexec_psh)

Em SMUser preenchemos com o nome do Administrador que ativamos, SMBPass o hash que salvamos em um arquivo local quando utilzamos o hashdump, Lembrando que preenchemos com o hash correspondente a conta do Admnistrador e por ultimo o campo RHOST com o endereço do computador que “invadimos” as configurações devem ficar parecidas com essa. Em seguida iniciamos a exploração.

                             

Voilá! Teremos uma nova sessão sendo essa autenticada como Administrador atraves do SMB e agora? Até agora não temos a senha limpa. Parou por aqui? Então não iremos conseguir a senha limpa? CALMA! O metasploit como sempre um framework completo, trás o mimikatz como um de seus modulos (OPA! O mimikatz? Ele é um Windows Credentials Editor!! To começando a entender kkk) Agora daremos comando background voltamos o msf em seguida listamos a sessões disponíveis através do comando sessions -l identificando a sessão o qual foi autenticada pelo SMB como administrador entraremos nela através do comando sessions -i n.

*Onde n corresponde ao numero da sessão.

Vamos carregar o modulo do mimikatz através do comando load mimikatz, em seguida o comando msv esse listará as credenciais, mas aindas em forma de hash e por ultimo lançaremos o comando kerberos irá listar as informações do msv, mas perceba que a senha dos ultimos usuários já autenticados encontram-se em texto limpo, ou seja agora finalmente temos o texto limpo do hash do usuário local.

                             

Com essa informação fica fácil ativar o serviço de RDP se achar que é necessáio, embora seja importante lembrar que o Windows Desktop fornece somente uma conexão por vez, ou seja, se você logar como RDP o outro usuário será desconectador notando sua presença, por tanto não aconselho a utilização deste protocolo, se quiser fazer algo parecido, trabalhe com VNC (não há necessidade de senha), pois o cliente continua conectado e não percebe a presença de um segunto usuário.

                            

Este artigo foi escrito e enviado pelo leitor Maxwell Oliveira de Souza Lima. Você pode contata-lo através do Facebook, Youtube e Email (sisinf.max (at) gmail (dot) com).

Você gostaria de ter seu texto aqui na Brutal Security? Entre em contato conosco em um de nossos canais!

Read More

Escalação de privilégios - Parte 1

ESCALAÇÃO DE PRIVILÉGIOS E MIMIKATZ

TEORIA - ESCALONAMENTO

É comum quando se fala de escalonamento de privilégios, vir a cabeça palavras chaves: hashes, John The Ripper, Hydra, Medusa, exploits, etc. Na maioria dos livros é retratado a questão de obtenção de hashes e muitas vezes o quanto a ferramenta JtR pode ser útil na extração de senhas, mas não vamos no resumir a somente uma ou duas técnicas para atender a um escalonamento. Sem dúvida a técnica de força bruta utilizada pelo JtR e as demais ferramentas é muito eficiente quando a etapa de reconhecimento e escaneamento são recheadas de informações, porém existem casos nos quais não existe muita informação sobre o alvo, dificultando o trabalho do pentester na obtenção de resultados.

Já algum tempo atrás surgiu uma técnica chamada Pass-the-hash que tinha como objetivo usar o hash puro para autenticação em serviços SMB e com hashes NTLM sem a necessidade de saber qual era a senha limpa. Mas essa técnica ficou obsoleta, pois acreditava-se que era valida somente para versões antigas do Windows (Windows XP e Windows 2003). Agora existe uma técnica considerada sucessora do Pass-the-hash, é o chamado Windows Credentials Editor, que nos possibilita a senha limpa do hash, sendo essa técnica não só compatível com versões anteriores como versões atuais Windows (Windows 7, Windows 2008) e o alarmante é que a sua usabilidade é extremamente fácil, não exigindo por parte do hacker e/ou pentester muito conhecimento.

Você pode obter a ferramenta em: http://ampliasecurity.com/research.html

Você pode realizar um teste, execute o cmd como Administrador

Em seguida entre com o comando wce.exe -w

* Sendo o -w a sintaxe de extração da senha clara.

* Mais informações através do comando wce.exe -h

Outro programa da “classe” Windows Credentials Editor, é o mimikatz

Você pode obter a ferramenta em: https://github.com/gentilkiwi/mimikatz

Informações no documento “README.md”

HISTÓRIA

Vamos simular que você foi contratado para fazer um pentest em uma faculdade. Chegando lá lhe é solicitado um pentest do tipo Black Box (para mais informações consulte: www.brutalsecurity.com.br/p/testes-de-invasao-brutal-security.html) no qual você precisará recolher bastante informação, mas você possui pouco tempo, pois está cheio de outros pentests para realizar em diversas empresas (isso é no Brasil? Kkk), embora um pentest deva ser realizado de forma lenta, pois exige muita atenção, vamos supor que você é desenrolado e que possui pouco tempo então depois descobrir uma falha, você se encontra dentro do sistema. Você utlizou o modulo meterpreter do metasploit para se beneficiar da falha e agora quer realizar um escalonamento de privilégio para saber até que ponto a faculdade corre risco de perder informações. Devemos lembrar, que o artigo é sobre escalonamento de privilégios, não irei mostrar a utilização de um exploit para a invasão em seguida o uso de um payload. Iremos abordar uma Pós-exploração.

Você se encontra com privilégios de um funcionário ou aluno comum da faculdade, com controle de conta, não podendo ver configurações do sistema, abrir o gerenciador de tarefas, muito menos instalar ou excluir programas, tem um HD no qual você só pode adcionar arquivos, mas não tem controle do disco local (C:) e que a conta de Administrador encontra-se desativada.

CENÁRIO

Uma máquina Kali Linux

Outra máquina Windows 7 SP0

Emule ambas no virtual box, no meu caso sou meio novato na área e precisei me adaptar ao linux então instalei o Kali Linux nativo no PC para aprender da pior maneira, mas não faz diferença alguma.

Na parte 2 deste artigo veja a pós-exploração completa.

Este artigo foi escrito e enviado pelo leitor Maxwell Oliveira de Souza Lima. Você pode contata-lo através do Facebook, Youtube e Email (sisinf.max (at) gmail (dot) com).

Você gostaria de ter seu texto aqui na Brutal Security? Entre em contato conosco em um de nossos canais!

Read More