Cuadernos de campo: NFS - Impersonalización

Tras comprobar que una máquina trabaja con el protocolo NFS

Escaneo de nuestro objetivo

Hay que comprobar si podríamos conectarnos a los recursos compartidos, para lo cual podemos ejecutar el comando: showmount –e <maquina>.

Resultado de la ejecución del comando: showmount

El asterisco muestra que podríamos conectarnos sin mayores problemas, por lo tanto estamos ante un sistema que implementa la autenticación NFS: UNIX o AUTH_SYS. Cuando se usa la autenticación UNIX, un servidor NFS autentica una solicitud de archivo al autenticar la computadora que realiza la solicitud, pero no al usuario. Por lo tanto, un usuario cliente puede ejecutar el comando: su, y hacerse pasar por el propietario de un archivo. Si se utiliza la autenticación DH, el servidor NFS autentica al usuario, lo que hace que este tipo de suplantación sea mucho más difícil.

NOTA: Existen otros métodos de autenticación más fuertes, como AUTH_DH.

Más información: https://docs.oracle.com/cd/E19683-01/806-4076/rfsrefer-58/index.html

 

Acceso a un recurso compartido para cuyo contenido no tenemos acceso

Para suplantar al usuario (impersonalización) que si tiene permisos sobre los documentos vistos en el recurso, tenemos que:

1.- Averiguar el UID del usuario, para ello sólo tenemos que ejecutar el comando: ls –ld <recurso compartido>

 

Identificamos el UID del usuario con permisos totales para el recurso compartido

2.- Creamos un usuario en nuestro entorno y le otorgamos el SID y el GID encontrado anteriormente. Para ello podemos utilizar los comandos: useradd (crear usuario), usermod (otorgar SID al usuario creado anteriormente) y groupmod (otorgar GID al usuario creado anteriormente)

Creación de usuario y cambio de UID y GID

 

Comprobación del cambio realizado anteriormente

3.- No hacemos pasar por el nuevo usuario creado y accedemos al recurso

Cambio de usuario y acceso al recurso compartido con permisos totales

 

En cualquier caso

Lo que hagas con la información es cosa tuya, no mía... pero ten conciencia

 

Cuadernos de campo: ¿Qué es un archivo con extensión PFX?

 

¿Qué es un archivo con extensión PFX?

 

Un archivo con la extensión PFX es un certificado en formato PKCS#12.

En dicho certificado se encuentra guardado el certificado, el certificado intermedio de la autoridad necesario para una credibilidad del certificado y la clave privada para el certificado. Es decir, puedes imaginarte dicho certificado como un archivo con clave de acceso en el que está guardado todo lo que necesita para instalar el certificado o como una copia de seguridad de un certificado con clave privada de acceso (exportado desde Internet Explorer).

Importante, el archivo PFX está siempre protegido con una contraseña

NOTA:   ¿Cuándo se necesita crear un archivo PFX?

                Sobre todo de las siguientes situaciones:

  

·       Cuando instalamos el certificado en Windows Server (IIS) pero CSR request no fue creado en ISS.

·       Cuando se necesita el certificado para Windows Server pero no disponemos de IIS para generar CSR.

·     Cuando hemos creado CSR y guardado la clave privada, y necesitamos instalar el certificado en Windows Server.

·       Cuando tenemos el certificado Code Signing y necesitamos PFX para firmar.

 

 

¿Es posible averiguar la contraseña del certificado PFX?

 

Si, para ello podemos entre varias cosas realizar un ataque de diccionario con la herramienta: John The Ripper.

Para esto lo primero es preparar el archivo .PFX para que John lo entienda

Y ahora, dejamos que John haga su trabajo

Ahora que ya tenemos la contraseña del certificado, podemos extraer su contenido, para lo cual podemos seguir las indicaciones dadas en el siguiente enlace:

 https[:]//www.ibm.com/docs/en/arl/9.7?topic=certification-extracting-certificate-keys-from-pfx-file

Es decir:

1.- Extraemos la clave privada del certificado contenido en el archivo PFX (sin crackear)

 

NOTA: incluimos la opción: -nodes, la cual indica que no sé solicitará contraseñas de protección

Ahora, para poder manejar la clave privada en conjunción con el certificado, debemos quitarle la información inútil a la clave del mismo, es decir, debemos quitar los atributos que se muestran a continuación remarcados en rojo:

 

Para ello podemos eliminar dicha información del archivo o ejecutar el siguiente comando:

 

 

Con lo que ya nos habremos quitado la información inútil y podremos utilizar dicha clave sin necesidad de crackearla

2.- Extraemos el certificado contenido en el archivo PFX

A partir de aquí ya podremos utilizar el certificado y la clave del mismo, sin haberla crackeado,  para lo que se pueda, como por ejemplo: intentar conectarnos al servicio SSH con el certificado extraído.

 

En cualquier caso

Lo que hagas con la información es cosa tuya, no mía... pero ten conciencia

 

Reto Forense - HTB: Diagnostic

 

El reto comienza visitando la entorno web: 206.189.25.173:32614/layoffs.doc, esto conlleva la descarga del documento indicado en la URI.

Al analizar el documento de manera estática (se debe abrir el archivo como si fuera un archivo comprimido) se pueden apreciar dos puntos de interés:

                En el archivo: document.xml

                En el archivo:  document.xml.rels

Lo más sencillo es visitar  la nueva URL, pero tal y como nos dice la descripción del reto, la resolución DNS no funciona, por lo tanto tenemos que irnos a la URL: http://206.189.25.173:32614/223_index_style_fancy.html

Al visitarla obtendremos una bonita página en blanco, pero si revisamos el código, se nos abrirán los ojos:

¡Vaya!¡Follina ha llegado a nuestras vidas!

Tras revisar el código, nos quedamos con lo interesante, el resto del código en base64 puede ser música para tus oídos, pero revisarlo depende de ti

Si decodificamos la parte seleccionada obtenemos:

Ahora sólo falta interpretarlo, pero para eso tenemos nuestro amigo el powershell y las enseñanzas de Jack el Destripador, por lo tanto, iremos por partes.

Si empezamos por el primer parentesis y solicitamos el contenido de la variable:

Obtenemos:

Fácil, ¡no!, pues ya tenemos nuestro premio. 

En cualquier caso

Lo que hagas con la información es cosa tuya, no mía... pero ten conciencia