Pass-The-Hash en Metasploit

Configurar SMBv2 y reglas firewall

Abrir cmd como administrador.

Habilitar SMBv2:

sc config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc config mrxsmb20 start= auto

Reiniciar el servicio:

net stop lanmanworkstation
net start lanmanworkstation

Desactivar el firewall para permitir la detección por nmap

netsh advfirewall set allprofiles state off

Instalacion de apache24 en windows

Nos descargamos apache en .zip de la arquitectura que necesitemos en mi caso utilice el archivo llamado httpd-2.4.62-240718-win64-VS17.zip.

URL apache24 = https://www.apachelounge.com/download/

Una vez descargado, lo descomprimimos y nos dara una carpeta con 3 archivos, solo nos interesa la carpeta llamada Apache24 por lo que la moveremos a la ruta C:\.

Una vez que la carpeta este ahi, necesitaremos instalar las dependencias, que seran las siguientes.

URL mega (Winsows 7 Service Pack 1 - 64 bits) = https://mega.nz/file/lbZyHQoS#h8B3jmgcNSKI9KMvVjuXzqnrdMqtb40rsgpJHmBSSDI

URL (Versión de Microsoft Visual C++ Redistributable más reciente) = https://learn.microsoft.com/es-es/cpp/windows/latest-supported-vc-redist?view=msvc-170

Primero descomprimiremos el archivo Winsows 7 Service Pack 1 - 64 bits y lo ejecutaremos, esto tardara un poco ya que se estara instalando un paquete en el S.O. y se reiniciara varias veces, una vez instalado, descomprimiremos el segundo archivo llamado VC_redist.x64 o la arquitectura que se haya descargado, lo instalaremos y una vez instalados estos 2 archivos, cambiaremos una pequeña configuracion del apache24.

Esto abrira un archivo de texto con la configuracion del apache, por lo que nos iremos a una linea comentada llamada #Listen www.example.com:80 y lo cambiaremos por lo siguiente (Quitando el #).

Para que asi escuche en todas las direcciones de red, a parte comentaremos poniendo un # donde pone Listen 80 quedara algo tal que asi.

Despues y por ultimo nos iremos a la siguiente linea llamada #ServerName 10.10.10.10:80 en vuestro caso la IP sera diferente, pero tendremos que quitar ese #, esa IP y poner lo siguiente.

Una vez cambiado todo esto, lo guardaremos y haremos lo siguiente en terminal.

Instalar apache como un servicio por si acaso.

Iniciar el servicio de apache.

Y para comprobar que todo funciona correctamente lo verificaremos de la siguiente manera.

Tendras que ver algo asi:

Y si nos vamos a http://localhost/ tendriamos que ver nuestro apache y cuando hagamos un nmap, deberiamos de ver el puerto apache (80) abierto.

Instalar software BadBlue en apache

URL BadBlue2.7 = https://badblue-pe.uptodown.com/windows/descargar

Una vez que lo ejecutemos como administrador el .exe se nos instalara de forma automatica el software BadBlue y lo podremos ver en la siguiente URL.

Y en la maquina atacante se podra entrar mediante.

Habilitar usuario Administrador en Windows 7

Primero cambiaremos la contraseña al administrador en el cmd como administrador.

Despues activaremos la cuenta administrador.

Explotar maquina windows, para dumpear los hashes y contectarnos mediante SMB con los hashes

Info:

Info:

Cargar kiwi y dumpeo de hashes (Teniendo una shell)

Info:

Info:

Info:

Hash NTLM

Hash LM y NTLM

Conectarnos por SMB con los hashes

Seleccionamos el exploit.

Configuramos el exploit, añadiendo el usuario y los hashes LM y NTLM como contraseña del administrador y el target el que veis.

Ejecutamos el exploit.

Info:

Y con esto ya nos habriamos autenticado como administradores mediante SMB y los hashes que dumpeamos con kiwi.

AVISO

Si no funcionara el exploit de psexec revisar que es con el usuario administrador, por que otro usuario no funciona a no ser que tenga privilegios de administrador, y si siguiera fallando teneis que aseguraros de que el SMB es v1, por que con la v2 no va a ir.

Cambiar SMB a v1

Abre el gestor de archivos con lo siguiente.

Windows + R y escribe regedit

Ahora nos tendremos que ir a la siguiente ubicacion.

Despues dentro de esa carpeta añadiremos lo siguiente.

Agregar Clave:

  • En el panel derecho, haz clic derecho en un espacio vacío y selecciona Nuevo > Valor DWORD (32 bits).

  • Nombra la nueva entrada como SMB1.

  • Haz doble clic en la entrada SMB1 y establece el valor en 1 para habilitar SMB1. Modificar Clave Existente:

  • Si ya existe una entrada llamada SMB1, haz doble clic en ella y asegúrate de que el valor sea 1.

Una vez hecho esto lo podremos comprobar desde la maquina atacante de la siguiente forma.

Y se tendria que ver algo asi:

PreviousBlueKeep Conf y ExplotaciónNextKeylogger Automatizado

Last updated