Ataque de contraseñas
Última actualización
Última actualización
En caso de que tener las credenciales de un usuario el cual sea Administrador local, podemos dumpear los hashes locales.
También, podemos utilizar el hash NTLM
Con los hashes anteriores, podemos llevar a cabo otro ataque conocido como Pass The Hash
.
En contraste con un ataque de fuerza bruta convencional, donde se intentan muchas contraseñas diferentes para una sola cuenta de usuario, el password spraying implica intentar un conjunto limitado de contraseñas en múltiples cuentas de usuario. Esto se hace para evitar la detección de bloqueo de cuenta, ya que la tasa de intentos de inicio de sesión fallidos para cada cuenta es baja.
El password spraying aprovecha la tendencia de los usuarios a elegir contraseñas débiles o comunes, así como la reutilización de contraseñas entre múltiples cuentas. Los atacantes pueden obtener listas de cuentas de usuario de manera legítima o mediante técnicas de recopilación de información, y luego intentar iniciar sesión en estas cuentas utilizando contraseñas comunes o basadas en diccionarios.
Una vez que hemos creado una lista de usuarios validos, es hora de ejecutar el ataque. Rpcclient es una excelente opción para realizar este ataque desde Linux. Una consideración importante es que un login válido no es inmediatamente aparente con rpcclient, con la respuesta Authority Name indicando un login exitoso. Podemos filtrar los intentos de inicio de sesión no válidos buscando Authority en la respuesta. El siguiente Bash one-liner (adaptado de aquí) puede ser usado para realizar el ataque.
Limitar la reutilización de cuentas
Evitar reutilizar contraseñas de Administrador locales.
Deshabilitar las cuentas de Invitado (Guest) y Administrador locales.
Limitar quien es Administrador local.
Utilizar contraseñas robustas.