Picha!, pasame unas máquinas!

 

Una manera rápida de encontrar máquinas en un entorno de directorio activo, es preguntarle al directorio activo.

Para ello, se necesitará un usuario válido que tenga permisos para hacer consultas.

Si ya lo tienes, lo único que necesitas algún programita que te permita hacer dichas consultas, personalmente me gusta trabajar con el módulo de Windows ActiveDirectory.

Entre sus comandos tenemos: Get-ADComputer, por lo que mediante el siguiente comando podemos extraer todas las máquinas dadas de alta en el Directorio Activo, siempre y cuando se encuentren activas.

 

 Si queremos hilar un poquito más…

Y obtendremos

 

Ahora sólo nos queda obtener las direcciones IP, pero preguntando al servidor DNS lo tenemos resuelto

NOTA: Y cómo esto, tenemos todo el campo libre para obtener información sobre usuarios, grupos, etc. Ejemplos:

Grupos de seguridad global y universal que tiene el patrón “admin” en el nombre 

 

 

Todos los usuarios con todos sus datos

 

...

En cualquier caso

Lo que hagas con la información es cosa tuya, no mía... pero ten conciencia

 

 

Backmachine basada en búsquedas de Google

 

Buscando por Internet información sobre un reto de HTB, me encontré con esto:

 

Realmente el enlace dirige hacía un archivo de texto que contiene flags de los retos de HTB (enlace: hxxps://linguinielruso.com/Soplones/soplon_HTB_ALL.txt)

No intentes ir a la web, ¡no funciona!, pero aún así se puede extraer toda la información del documento… o se podía. ¿Por qué?

¡Porque Google ha/había cacheado el contenido del archivo .txt!, por lo tanto, podemos utilizar forks para recuperar toda la información del documento.

Ejemplos al respecto:

 

 

La fork es sencilla, no me hagas escribirla

Y antes de que vayas a sacar flags de HTB, comentarte que el contenido del documento no se encontraba muy actualizado. Pero, lo más importante y que ya se ha comentado

¡Google cachea el contenido de archivos con extensión .txt!

Y, ahora, ya puedes ir a por las flags… o no (el autor posteriormente a bloqueado a los spider).

 

 

 

Mis disculpas si ha molestado mi visita, no era mi intención. 

 

En cualquier caso

 

Lo que hagas con la información es cosa tuya, no mía... pero ten conciencia

Reto Forense – HTB: Blue_Shadow

 

Con la única pista que nos dan: @blue_shad0w_ , se busca información en San Google. Se encuentra un perfil en Twitter, que tiene posteados nada más y nada menos que 58 tweets compuestos de cadenas de 0’s y 1’s.

La primera impresión es que nos encontramos ante un programa codificado en binario, que debe ser transformado para que podamos ejecutarlo.

Para comprobarlo, se decide a coger el primer tweet publicado -por tanto el más antiguo-, porque si la intuición no falla dicha parte contendrá el magic number del fichero. Con lo cual podremos saber contra que nos enfrentamos

Los pasos para la transformación serían:

1.- Copiar y pegar la primer cadena de 0’s y 1’s en un archivo

 

2.- Transformar los 0’s y 1’s anteriores a formato hexadecimal.

Para ello yo he utilizado el siguiente código.

 

3.- Tras obtener la cadena en hexadecimal, ahora debemos pasarla a un formato “ejecutable”, para ello utilizaremos la herramienta: xxd, con los parámetros: -ps (output in postscript plain hexdump style.) y –r (reverse operation: convert (or patch) hexdump into binary.).

 

Ahora sólo tenemos que ejecutar el comando: file o abrir el fichero resultante para saber, a través del magic number, de que se trata.

 

 ¡Perfecto!, la intuición no nos ha fallado, tenemos un fichero: ELF, que no es otra cosa que un fichero ejecutable en sistemas *NIX.

Ahora nos toca hacer lo mismo pero con todas la cadenas de 0’s y 1’s puestas unas detrás de las otras.

Una vez realizado esto, se procede a ejecutar el archivo obtenido.

¡Nada!, pero … tenemos una pista, ¡necesitamos el antídoto!

Buscamos entre las cadenas del propio programa el antídoto, para lo cual utilizamos el comando: strings

 

No parece que las cadenas de texto del ejecutable no muestren información sobre el antivirus, pero dan información. Entre esta información, nos dice que necesitamos pasarle algo como parámetro, que con absoluta seguridad comparara con algo y si coinciden nos dará nuestro tesoro.

Pasamos a bucear por Internet, en dicho universo encontramos referencia de un episodio de Stars Wars denominado: “Blue Shadow Virus”, en donde se habla de su antídoto: reeksa roots (raíces de reeksa). Se decide probar con ello.

¡Vaya!, hemos obtenido nuestro premio

A862BC50162B5BFA6ED8167898E843E4

Ahora solo hay que añadir el formato adecuado y probarlo.

 

En cualquier caso

Lo que hagas con la información es cosa tuya, no mía... pero ten conciencia

 

Reto Forense – HTB: Export

 

Empezamos extrayendo el archivo: WIN-LQS146OE2S1-20201027-142607.raw

La primera impresión es que tenemos un volcado de memoria, por lo que sacamos el volatility a la palestra y probamos a ver si es posible determinar el perfil del archivo.

Parece que la intuición funciona, tenemos un perfil ganador: Win7SP1x64

Siguiente paso, buscar procesos que se estuvieran ejecutando durante el volcado de memoria y que mejor manera de hacerlo que mediante los módulos: pslist y pstree. Personalmente y a día de hoy me gusta más el segundo.

Me llama la atención los siguientes procesos:

            1.- DumpIt.exe (Pid: 2004 y PPid: 808)

            2.- Cmd.exe (Pid: 1640 y PPid: 808)

Pero siempre que veo en ejecución el proceso: cmd.exe, mi sentido arácnido me alerta, por lo que  paso a comprobar lo que realmente se está ejecutando por consola, para lo cual utilizo el módulo: cmdscan

Al ejecutarlo, se obtiene:

Bueno, bueno, ¡un intento de descarga que si se realizará con éxito se almacenaría en una ruta muy utilizada para ganar persistencia!

Pero lo más curioso es que la URI de la URL tiene formato en base64, probemos a decodificarla.

¡Premio!

 

En cualquier caso

Lo que hagas con la información es cosa tuya, no mía... pero ten conciencia