Demostración en vídeo de éste post:
En el post anterior explicaba algunas de las herramientas que a mi juicio, son fundamentales para labores de explotación y post-explotación en sistemas Windows, especialmente aquellos que se encuentran en un entorno de Directorio Activo. En éste post, explicaré cinco herramientas más. Posiblemente ya las conoces (o no), en todo caso aquí van:
BloodHound es una utilidad que se me parece mucho a Maltego, al menos visualmente porque sus funcionalidades son completamente distintas. Se trata de una herramienta que recibe un fichero con información de un dominio y te permite hacer consultas interesantes con el objetivo de descubrir malas configuraciones o vulnerabilidades en el entorno. Su funcionamiento es simple, en primer lugar necesitas ejecutar un «Collector» sobre una máquina unida a un dominio. Dicho programa viene en dos formatos: «exe» y «powershell», ambos se encuentran disponibles en su repositorio de GitHub. Una vez se ejecuta dicho componente, se generan ficheros comprimidos que debes descargar a tu máquina como atacante para luego subirlos a tu servidor de BloodHound, el cual hará todo el trabajo de cargar la información para su posterior visualización. Como he mencionado antes, me recuerda a Maltego ya que enseña toda la información en una «paleta» con muchos elementos, por lo que si se trata de un dominio grande puede ser un tanto difícil de visualizar todo, no obstante las consultas que ya trae preparadas permiten extraer información muy valiosa del entorno y tener una idea de por dónde empezar a atacar.
El problema que tiene BloodHound es que es extremadamente invasivo, realiza consultas sobre el dominio que son fáciles de identificar por cualquier mecanismo de seguridad perimetral, en otras palabras: genera mucho ruido. Por este motivo, existe otra herramienta llamada SilentHound que realiza menos consultas y de una forma más sigilosa, evitando generar demasiadas alarmas sobre el objetivo. Es una alternativa que en la mayoría de los casos, resulta más interesante que utilizar el Collector que viene incluido en BloodHound.
Se trata de un programa pensado para realizar pentesting sobre entornos de Active Directory partiendo de una estación de trabajo. Tal como se describe en su página oficial, es capaz de ejecutar pruebas al mejor estilo de BloodHound, pero de una forma menos intrusiva. Es un programa que viene unicamente en formato EXE y para poder usarlo se debe subir a la estación de trabajo, aquí no es posible ejecutar el Invoke-Binary de Evil-WinRM ya que no se trata de un Assembly de C#. Cuenta con varias opciones por línea de comandos y cuando finaliza su ejecución, genera un informe en formato HTML muy completo con toda la información recolectada. En mi opinión, los informes generados por PingCastle pueden aportar más valor que las consultas preparadas que incluye BloodHound.
Probablemente ya has visto la serie de posts sobre Impacket que se han publicado en éste blog, si no es el caso de aconsejo que los leas. Se trata de una de las librerías más potentes que existen en el mundo de Python para pentesting sobre Windows. Si bien un desarrollador le puede sacar el máximo provecho, cuenta con scripts que permiten explotar todo su potencial. Estos scripts se encuentran en el directorio de «examples» y permiten, entre otras cosas, levantar servidores de diferentes tipos, volcar información sensible de una máquina Windows previamente comprometida, generar una shell usando diferentes métodos, entre muchas otras cosas interesantes.
Se trata de otra herramienta de la que ya se ha hablado en éste blog. Es desarrollada y mantenida por Carlos Polop, autor de uno de los mejores recursos disponibles para pentesting: book.hacktricks.xyz. Esta herramienta ejecuta un checklist sobre una estación de trabajo y enseña malas configuraciones que potencialmente pueden representar una brecha de seguridad, así como CVEs o vulnerabilidades que pueden estar presentes en el sistema. Cuenta con un sistema de colores que le hace especialmente interesante, ya que rápidamente puedes enfocarte en lo que con una alta probabilidad puede ser un problema de seguridad, algo que otras herramientas de post-explotación desafortunadamente no tienen. Además de WinPEAS, también tienes otras para Linux y Mac, las cuales siguen la misma filosofía y son especialmente interesantes. Las encuentras disponibles en el proyecto PEAS-Ng
Finalmente tenemos Mimikatz (o Kiwi). Es una herramienta que lleva muchos años en el sector y es poco probable que no lo hayas escuchado antes. En mi opinión es un «must» para las labores de post-explotación en sistemas Windows ya que te permite, entre otras cosas, exportar los tickets de Kerberos que se encuentran cargados en la memoria del proceso LSASS. Solamente por esto ya merece la pena utilizarla. Uno de sus usos más habituales consiste en extraer contraseñas en texto plano que se cargan en la memoria del proceso LSASS en sistemas inferiores a Windows 8, no obstante, hay que tener en cuenta que para sacarle el máximo provecho necesitas permisos de administrador.
Esto esto, espero que este listado te haya parecido interesante y sobre todo útil. Si conoces alguna otra que merezca la pena incluir en éste post, puedes dejarla en los comentarios.
Un saludo y Happy Hack!
Adastra.
