Enumeración remota de SAM
Con esta tecnica lo que podemos hacer es enumerar los usuarios que esten dentro del grupo administradores dentro del dominio, para enforcarnos concretamente en ese equipo e intentar ganar acceso a el, en vez de tener que ir uno por uno probando cual tiene el grupo administrador o no, por lo que con este tipo de tecnicas sabes a que equipo ir mas concretamente.
Si nos encontramos con un Windows 7 o un Windows Server 2016 para abajo, podriamos enumerar el SAM de forma remota con un usuario cualquiera, pero de esas versiones para arriba, ya no es posible, si estuvieramos de esas versiones para abajo seria con el siguiente comando:
Pero si nosotros obtenemos un usuario de dominio con privilegios de administrador si podremos enumerarlo de forma remota, por lo que vamos a hacer que este usuario tenga privilegios de administrador de forma temporal para que se vea:
Nos iremos a nuestro DC en el Servidor del administrador -> Herramientas -> Usuarios y equipos de Active Directory -> Users -> click derecho empleado1 -> Propiedades -> Miembro de -> Añadir -> escribimos Admins de do y lo va a detectar solo, seleccionamos el grupo de Admins de dominio -> Aceptar -> Aplicar -> Acpetar.
Y con esto ya lo tendremos en el grupo para realizar lo anterior.
Tendremos que reiniciar el equipo para que se apliquen los cambios, volvemos a ejecutar el script de PowerView y hacer lo siguiente:
Info:
Ahora veremos que si nos funciona siendo administradores del dominio, por lo que hemos obtenido estos datos de manera remota sobre el equipo WS02.
En este caso al obtener esta informacion estamos utilizando el protocolo SAMR que estaria distribuido por DCE/RPC (Remote Procedure Call), pero cuando nosotros consultemos la base de datos NTDS del DC vamos a utilizar el protcolo LDAP con el que podemos interactuar con esa base de datos.
Una vez explicado y visto todo esto, vamos a quitarle los privilegios al empleado1 eliminando el grupo administrador de dominio.
Realizar listado de SAM remota de forma manual sin PowerView
Ahora si nosotros queremos realizar esto anterior pero sin PowerView podremos hacerlo de la siguiente forma:
Pero nos dara un error ya que no tendremos privilegios para listarlo.
Identificar que equipos son los administradores en el dominio
Para saber que usuarios tenemos registrados por obtener mas informacion, sera de la siguiente forma:
Info:
Esto de forma remota no lo podremos hacer ya que requiere privilegios de administrador, pero lo que si podremos obtener son las sesiones de las conexiones que hay a mi maquina a la WS01:
Info:
Pero imaginemos que un Administrador se conecta a esta maquina para gestionar algunas cosas, lo haremos de la siguiente forma.
Nos iremos a nuestro DC -> abriremos una carpeta normal y en la barra de busqueda pondremos \\WS01\C$.
El C$ es el recurso compartido de un equipo tipico en el que se encuentra todo el sistema operativo entero.
Ahora si nos vamos al equipo WS01 y ejecutamos el mismo comando de antes:
Info:
Por lo que vemos estamos observando que un usuario Administrador se ha conectado a nuestra maquina y sabemos su IP por lo que si comprometemos dicha maquina obtendremos privilegios de administrador de forma inmediata, por lo que nos interesa centarnos en dicha IP, es una forma de saber por donde atacar o donde ir en estos casos.
Y aunque al internat conectarse falle u otro equipo de la red se intente conectar el cual no tendra privilegios a no ser que sea administrador falle, eso tambien se quedara registrado en las sesiones.
Last updated
