Ataque Windows – Pass The Hash con Mimikatz

Hola a tod@s, hoy os traigo otra entrada de ataques Windows, en este caso os traigo el ataque Pass The Hash, que consiste en autenticarse contra un Active Directory solo conociendo el hash NT de una cuenta de usuario autorizada.

Para saber como conseguir los hashes NT de cuentas de usuario, puedes visitar estos dos artículos: EXTRACCIÓN de CONTRASEÑAS – WINDOWS y EXTRACCIÓN de CONTRASEÑAS en MEMORIA – WINDOWS.

Pass The Hash es la técnica que permite a un atacante autenticarse contra un sistema o host a través del hash NT de un usuario válido en lugar de una contraseña tradicional.

En principio se necesita el hash NT, el dominio y el usuario a que le corresponde dicha información, posteriormente inyectaremos las credenciales en el proceso LSASS para autenticar y así no tener la necesidad de saber la contraseña.

Los pasos de este ataque son los siguientes:

  1. El atacante consigue los hashes de los usuarios. Se pueden obtener los hashes con las técnicas mencionadas anteriormente.
  2. Se inyecta el hash conseguido en el proceso LSASS.
  3. Una vez que tenemos el hash inyectado gracias a Single Sing-On las credenciales se proporcionan automáticamente a la hora de autenticarse contra algún servicio o host.
Diagrama de ataque

Primero comprobamos que no tenemos acceso al equipo destino, en este caso el controlador de dominio. Esto lo hacemos desde la máquina atacante:

Intento de acceso al controlador de dominio.

Extraemos las credenciales y la información necesaria para poder realizar el ataque:

Extracción de la información

Con la herramienta Mimikatz vamos a proceder a inyectar al proceso LSASS las credenciales para poder tener acceso al sistema de archivos del controlador de dominio mediante powershell:

Inyectando credenciales a LSASS

El parámetro /run nos permite ejecutar un powershell, en caso de no especificar nada, nos ejecutará una cmd, como veremos se nos ejecutará un powershell:

Powershell

Comprobamos si tenemos acceso al controlador de dominio:

Acceso al controlador de dominio

Como podemos ver con las credenciales que hemos inyectado a LSASS y sin saber ningún tipo de contraseña hemos conseguido acceso al controlador de dominio.

Con esto acabamos el post. Espero que os haya gustado la entrada. Un saludo, David.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.