Post104 nn

Elevando privilegios y extrayendo credenciales con Empire y Powershell


Logo uri spioni mh 1
Cristian Palma P

Elevando privilegios y extrayendo credenciales


En apartados anteriores hemos realizado la forma de cómo comprometer un equipo con la poderosa herramienta EMPIRE a continuación veremos una técnica para elevar privilegios mediante los módulos y como extraer credenciales con mimikatz.


Pero que es mimikatz


Para los que no lo conocen mimikatz es una herramienta que entre otras características permite el obtener las contraseñas en texto del sistema operativo, la exportación de certificados o la obtención de hashes de la SAM (es aquí donde se almacenan las credenciales)


Realizando el ataque


Comencemos elevando privilegios para luego aplicar un módulo de enumeración de cuentas y ejecutar el módulo mimikatz:

Teniendo previamente comprometido el equipo de nuestra victima tendremos un agente con el cual comenzaremos a ejecutar nuestros modulos:


1

Lista de agentes comprometidos


Mediante el comando interact y el nombre del agente ya tendremos las herramientas para comenzar a realizar nuestra fase de post explotación, como podemos observar en la siguiente imagen ingresamos mediante el comando usemodule la ruta del modulo que utilizaremos para elevar privilegios, como utilizamos en artículos anteriores para elevar privilegios con metasploit, nos apoyaremos en el módulo:


#usemodule Privesc/bypassuac_fodhelper  


Aqui solo setearemos nuestro “escucha” Listener, que ya habiamos definido en la fase de explotación:


2

Opciones módulo bypassuac_fodhelper


Ya definido los requerimientos de nuestro módulo procederemos a ejecutar, si todo resulta bien, se va a generar una nueva conexión “Agents


3

Ejecución módulo bypassuac

Como podemos observar en la siguiente imagen se genero una nueva conexión, donde se puede destacar que la segunda conexión contiene un signo * característico que nos indica que el agente contiene los permisos de admin para elevar privilegios a system.


4
Lista de agents

Como guía para nosotros renombramos el segundo agente:


5
Renombrando la nueva conexión

Renombrada la conexión procederemos a comenzar a interactuar con el agente y terminaremos de elevar privilegios mediante el módulo getsystem


# interact wadmin
#usemodule privesc/getsystem*


6

configuración módulo getsystem

Como podemos observar en la imagen anterior dentro de los requerimientos del módulo, no indica como campo obligatorio indicar el nombre del agent que por defecto se setea de manera automática correspondiente a la sesión en interacción, sin embargo, a veces también es bueno ajustar el tipo de técnica que aplicará el modulo. En algunos casos he tenido que utilizar la técnica por Token para correr de manera exitosa el módulo.

Como se puede terminar de observar se nos despliega un mensaje informando que ahora contamos nuestra sesión a ahora pertenece al grupo system.

Ya contamos con los privilegios necesarios para poder ejecutar los módulos con NeedsAdmin: True

En la siguiente imagen podemos enumerar los cuentas y credenciales del equipo comprometido:


8

Configuración lsadump

Ejecutado el modulo, esperamos unos segundos y se desplegara la siguiente respuesta con el nombre de las cuentas de usuario alojadas en el equipo:


  1. 9
    Lista de usuarios

    Ahora procederemos a ejecutar nuestro módulo mimikatz, cual ira a la memoria y nos extraerá las cuentas de usuario junto a sus contraseñas:

    10
    Ejecución mimikatz

Si todo resulta bien, esperado un tiempo mimikatz nos regresara la enumeración de las cuentas de usuario junto a sus contraseñas como podemos observar en la siguiente imagen:


11
Credenciales de usuarios

Otro módulo extra que nos permitiría ver las credenciales que el usuario a registrado en sistemas poco seguro como por ejemplo “http” es el módulo enum_cred_store


#usemodule credentials/enum_cred_store


12

Configuración enumeración de cuentas almacenadas

Ejecutado el módulo ira a la memoria de las contraseñas alojadas y este nos retornara las cuentas junto a su contraseña


Sistema con sus contraseñas




Artículos que te pueden interesar