olfateando contrasenas en sistemas microsoft
DESCRIPTION
cain&abel-inoTRANSCRIPT
Título: Olfateando contraseñas en sistemas Microsoft Autor: DDiego (diegorbaATyahoo.es; ddiegoATdisidents.org) Temática: Seguridad/Contraseñas Plataforma: Windows Fecha: 21/04/2008 Licencia: Este documento es propiedad de Disidents, su distribución/modificación siempre esta limitada a la autorización explicita del autor o de la organización. En general siempre que no se modifique el contenido ni se elimine esta cabecera la distribución esta autorizada, salvo que Disidents o el autor indiquen lo contrario. Fuente: http://www.disidents.org Ezine: Disidents 9 1.0- Introducción 2.0- ¿Que necesito para empezar? 3.0- Ophcrack 3.1- Averiguando las contraseñas en Local con Ophcrack 3.2- Descrubriendo contraseñas de forma remota 4.0- Contramedidas 4.1.0- Seguridad de contraseñas. 4.1.1- Longitud de contraseña. 4.1.2- Generador de passwords en Windows. 4.2- Almacenamiento de claves en un disco de inicio o llave usb: 5.0- Probando sobre un Windows XP SP2, con sus posibles problemas que se nos pueden plantear para acceder a recursos compartidos especiales “admin$”. 6.0- Más contramedidas, para evitar robos de contraseña de forma remota. 6.1.- Modificar el registro para que no nos comparta los recursos especiales cada vez que iniciamos el PC. 6.2.- Denegando el acceso al equipo desde la red. 7.0- Protegiendo nuestras contraseñas. 7.1.- Deshabilitando LAN Manager. 7.2.- Jugada Maestra 8.0- Averiguando contraseñas con LM desactivado, pero aceptando NTLM. 9.0- No tengo dinero para comprar ni media tabla. Pues llamemos a CAIN que invita!
9.1.- Descargando tablas rainbow. 9.2.- Creando tablas rainbow con Winrtgen. 10.0.- Haciendo uso de Cain para los hash NTLM . 11.0- Interceptando passwords en la red con Caín y NTLMv2. 12.0- Auditando inicios, cierres de sesión y entradas a carpetas. 13.0- Enlaces de interés. 14.0- Despedida. 1.- Introducción: Puede llegar el día que necesitemos recuperar las contraseñas (vaya cabeza la nuestra!!) en un equipo tanto a nivel local como remoto de sistemas Windows. Para ello existen varias herramientas, entre ellas Ophcrack, Caín que vamos a analizar y que nos pueden hacer la vida muy fácil al administrador que necesita recuperar una contraseña en un sistema Windows sin causar ningún tipo de cambio en el sistema que se esta analizando, estas herramientas muchos ya las conoceréis y otros quedarán prendados de ellas. Ophcrack puede correr bajo Windows, Linux y Mac Os X(CPU Intel), en este artículo vamos a instalarla en Windows, vamos a probarla bajo Windows 2000 y XP SP2, según su página oficial también funciona bajo Windows Vista, pero con algunas cosas que tendremos que tener en cuenta. También vamos a ver las contramedidas para poder defendernos de estas herramientas.. La herramienta Cain que veremos un poco más adelante también corre en Windows 9x, NT, 2000 y XP y nos será de mucha utilidad. También veremos los diferentes tipos de protocolos de autentificación que podemos usar, LM, NTLM, NTLMv2 y lo vulnerables que pueden llegar a ser. En lo referente a Ophcrack lo podemos usar de varias maneras, sin instalación, una vez bajada la ISO tendremos un Live CD con Ophcrack sobre Linux slax con el que podremos arrancar sin necesidad de instalación alguna, pero hay otra manera de usarla, instalando la aplicación, ya lo veremos más adelante. 2-. ¿Que necesito para empezar? Ophcrack: La página oficial es http://ophcrack.sourceforge.net/es.index.php para bajar la iso iremos al apartado de download y bajaremos ophcrack-livecd. Cain: http://www.oxid.it/cain.html Tablas rainbow: Podemos descargarlas directamente de http://ophcrack.sourceforge.net/es.tables.php . O en el programa de instalación da la opción de bajarlas con el programa. En mi Live cd viene la SSTIC04-10k, se encuentra dentro de X:\ophcrack\10000 , es un set de tablas pequeño pero suficiente para probar la herramienta. Como nos podemos fijar en la página todos los set de tablas crackean password de hasta 14 caracteres, más adelante veréis mas formas de conseguir tablas e incluso de crearlas vosotros a vuestra medida.
Que son? http://en.wikipedia.org/wiki/Rainbow_tables Como funcionan? http://kestas.kuliukas.com/RainbowTables/ 3-. OPHCRACK 3.1- Averiguando las contraseñas en Local con Ophcrack Para averiguar las contraseñas en local solo debemos tener habilitado en la BIOS que arranque vía cd o la unidad donde nos bootee Ophcrack. Una buena forma de evitar esto es poniendo contraseña en la BIOS y apuntar como First Boot al disco duro directamente. Bueno, una vez introducido el cd y iniciado el sistema:
Después nos aparecerá la siguiente pantalla:
Como podemos observar debajo salen las estadísticas, usando la tabla alfanumérica hemos descubierto las contraseñas del equipo en 484.29 segundos, es decir en poco mas de 8 minutos. Si la contraseña que estamos buscando usa caracteres no alfanuméricos, nos puede interesar utilizar otro tipo de tablas. Para seleccionar la tabla iremos al apartado Tables
3.2- Descubriendo contraseñas de forma remota http://kent.dl.sourceforge.net/sourceforge/ophcrack/ophcrack-win32-installer-2.4.1.exe Vamos a instalar la aplicación Ophcrack ophcrack-win32-installer-2.4.1.exe http://downloads.sourceforge.net/ophcrack/ophcrack-win32-installer-2.4.1.exe?modtime=1195661800&big_mirror=0 También podremos instalarla desde el Live CD si lo hemos descargado esta dentro de la carpeta X:\ophcrack, donde X es tu unidad de cd-rom. La instalación es muy sencilla, podemos escoger las tablas que vamos a usar ya sea señalando las tablas vía CD/DVD o vía internet
En mi caso voy a cogerla vía CD.
Después de esto hay que dar a todo siguiente. Una vez instalado si vamos al menú Load… . Observaremos “From Remote SAM”
En Target hostname or IP, ponemos la ip de donde vamos a averiguar las contraseñas El recurso compartido admin$ por defecto El nombre de usuario si es diferente al que estamos usando (del grupo de administradores). Posteriormente nos pedirán la contraseña de administrador, del equipo remoto.
Le damos a Launch, y fácilmente volverá a resolver el resto de contraseñas pero esta vez de forma remota, mientras el usuario del equipo remoto no se dará ni cuenta.
4.- CONTRAMEDIDAS: 4.1.0- Seguridad de contraseñas. 4.1.1- Longitud de contraseña Podemos crear una política de contraseñas, en la que todos los usuarios tengan contraseñas de una longitud mínima de 15 caracteres. Bueno, parece excesiva la medida, ya que a los usuarios no les entraría tal contraseña en el Post-IT que tienen pegado en el monitor.
Para hacerlo solo deberíamos ir a las Herramientas Administrativas > Directiva de seguridad local > Directiva de Cuenta > Directiva de contraseñas > Longitud mínima de contraseña. 4.1.2- Generador de passwords en Windows. Windows tiene una sorpresa y es un generador de contraseñas, es fácil usarlo basta con abrir el Símbolo de sistema “cmd.exe” y escribir: net user nombreusuario /random
Observamos que crea una contraseña de forma aleatoria, una vez metido ese comando la contraseña de administrador pasara a ser kLoJ7oD@ , es lo que Microsoft entiende por contraseña segura aunque después de leer este texto puede que no os lo parezca tanto. Microsoft tiene un comprobador de contraseñas en línea: http://www.microsoft.com latam/athome/security/privacy/password_checker.mspx , vamos a comprobar la seguridad de la contraseña que nos ha generado.
4.2- Almacenamiento de claves en un disco de inicio o llave usb. Podemos almacenar clave de inicio en un disco, en el ejemplo usaremos un usb y intercambiaremos las letras de unidad de una manera muy especial Para hacerlo, le damos al botón de inicio ejecutar > syskey Actualización > Señalamos “Contraseña almacenada por el sistema” > “Almacenar la clave de inicio en un disco” , habría que guardarlo en A: Pero puede haber un problema quiero guardarlo en un lápiz usb y tengo mi disquetera ocupando mi unidad A: Para ello vamos a Mi PC [Botón derecho administrar] > Almacenamiento > Administración de discos > Seleccionamos el disco usb y con el botón derecho le damos a Cambiar la letra de acceso a la unidad, apuntando a la unidad A:
Quiero usar mi usb como unidad A: Pues nada amigos hagamos la jugada del polvorón. Vamos a regedit cambiamos dentro de la siguiente clave HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices el nombre de \DosDevices\A: por \DosDevices\Z:, y cuando vuelvas a arrancar el sistema veras tu disquetera en la unidad Z. Haremos la misma jugada con la unidad donde tenemos el pen drive por ej si la teníamos en \DosDevices\E: pondremos \DosDevices\A: y al reiniciar nos aparece nuestro usb como unidad de disco A:
Pedazo de disquete que me aparece jeje. Esto mismo podríamos hacerlo con la unidad C para cambiar la letra de unidad de inicio del sistema.
Si reiniciamos el equipo esto es lo que nos va a salir, en mi caso lo he hecho sobre un Windows 2000:
Como tenemos la llave metida, nos lleva a la entrada de usuario y funciona correctamente. Si hacemos la misma prueba sin el usb, nos encontraremos con el siguiente mensaje:
Ahora vamos a probar con Ophrcrack, arrancamos con el cd en local y comenzamos con el programa, como ya podemos imaginar no va a ver suerte.
Como podemos comprobar a estas alturas ya tendría que haber encontrado las contraseñas, pero no ha podido ser, gracias a haber almacenado la clave de inicio en un disco. 5.- Probando sobre un Windows XP SP2, con sus posibles problemas que se nos pueden plantear para acceder a recursos compartidos especiales “admin$”. De primeras lo más seguro que no nos deje entrar, podemos intentarlo desde \\192.168.0.201\c$ y nos da de vuelta:
Parece a simple vista como si nos forzara a entrar como invitado Probamos de otra manera, agregamos unidad de red, forzando a cambiar usuario y contraseña, para ello tenemos que ir a Conectar usando como otro nombre de usuario. Ahí podremos seleccionar otros nombres de usuarios.
Pero nos dice que nada de nada, no podéis entrar. Vamos a probar en modo comando: >net use z: \\192.168.0.201\c$ /user:ddiego La contraseña no es válida para \\192.168.0.201\c$. Escriba la contraseña de "ddiego" para conectar a "192.168.0.201": Error de sistema 5. Acceso denegado. Nada de nada. Una puntualización. en realidad tendríamos que hacerlo sobre admin$, ya que el usuario puede dejar de compartir el recurso c$, pero en este caso es igual tampoco nos deja entrar. Podemos observar varias cosas en el PC al que estamos intentando acceder. 1º No nos dejan ver desde el administrador de equipos las propiedades de los recursos compartidos especiales, nos sale un Actualizar
2º Desde local si nos deja entrar perfectamente a \\192.168.0.201\c$. Mosqueo, he visto muchos foros dando vueltas y vueltas sobre lo mismo, que porque aquí si me deja entrar y porque aquí no me deja entrar, aquí esta la respuesta. Vamos a la materia, quiero que nos deje entrar. Pues hay dos maneras, que son la misma en realidad: Vamos a Herramientas > Opciones de Carpeta > Ver > Y abajo del todo deshabilitamos “Utilizar el uso compartido de archivos (recomendado)”
Que seria lo mismo que cambiar una directiva de configuración de Seguridad local > Para ello podemos ir a las Herramientas Administrativas > Configuración de seguridad Local > Directivas Locales > Opciones de seguridad > Acceso de red: modelo de seguridad y para compartir para cuentas locales, y si lo miramos después de deshabilitar el Uso compartidos simple de archivos observamos que aparece Clásico: usuarios locales autenticados como ellos mismos:
Si no hubiese aparecido, como estaba al principio: Solo invitado: usuarios locales autenticados como invitados, si ponemos y volvemos a las opciones de carpeta veremos que esta habilitado el uso simple de archivos. Bueno ahora que tenemos habilitado Clásico; usuarios locales autenticados como ellos mismos. Si damos a las propiedades de la carpeta C veremos que esta compartida como C$. Ahora vamos al equipo atacante: >net use z: \\192.168.0.201\c$ /user:ddiego La contraseña o el nombre de usuario no es válido para \\192.168.0.201\c$. Escriba la contraseña de "ddiego" para conectar a "192.168.0.201": Se ha completado el comando correctamente. Ahora si me entra perfectamente. Bueno vamos a desconectar la unidad de red ya sabéis “net use z: /delete” por que nos puede dar problemas ophcrack, al abrir el mismo recurso y comprobamos que funciona perfectamente.
6.- Más contramedidas, para evitar robos de contraseña de forma remota. Ahora vayamos a lo siguiente, como evitar que nos saquen la contraseña de forma remota. Vamos a plantearnos la situación bastante usual, no tenemos cortafuegos o tenemos como excepción en el mismo la posibilidad de compartir archivos e impresoras y encima la persona que quiere averiguar los usuarios y contraseñas de nuestro equipo conoce la contraseña de una cuenta de un usuario incluido en el grupo administradores de nuestro equipo, pero alguna razón oscura que desconozco quiere averiguar el resto. 6.1.- Modificar el registro para que no nos comparta los recursos especiales cada vez que iniciamos el PC. Comprobamos que nos pide un Target Share ponemos admin$, podríamos deshabilitar esos recursos compartidos especiales aunque según Microsoft puede producir algunos problemas según Microsoft http://support.microsoft.com/kb/842715/es . Pero bueno podemos comprobar que si descompartimos estos recursos compartidos especiales, al reiniciar nos vuelven a aparecer, para evitarlo hay que tocar algo del registro de Windows, en HKLM\System\CurrentControlSet\Services\LanmanServer\ Parameters Creando el valor DWORD AutoShareServer y AutoShareWks a 0 6.2.- Denegando el acceso al equipo desde la red. Una buena opción es ir al Panel de Control > Herramientas administrativas > Directiva de seguridad Local y dentro de directivas locales > Asignación de derechos de usuarios > Denegar acceso desde la red a este equipo > Ahí añadimos al grupo administradores o a los usuarios que no queremos que tengan acceso desde la red.
Reiniciamos y ahora vayamos a ophcrack y nos darán la vuelta, esta directiva esta por encima de Tener acceso a este equipo desde la red, ahí también podríamos habilitar el acceso a los usuarios que deseamos que puedan acceder al equipo desde la red.
7.- Protegiendo nuestras contraseñas. También podemos ir donde antes, Herramientas administrativas > Configuración de seguridad Local > Directivas Locales > Acceso de red: modelo de seguridad y para compartir para cuentas locales [Solo invitado: usuarios locales autenticados como invitados] Comprobamos que tenemos habilitado Acceso a Redes: no permitir enumeraciones anónimas de cuentas SAM (Esta habilitado por defecto) Y después podemos habilitar Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM Bueno habilitamos estas dos últimas por seguridad.
7.1.- Deshabilitando LAN Manager. Lan manager como podemos comprobar da un escaso nivel de seguridad y es fácilmente vulnerado. Por eso vamos a rechazarlo, esto puede ocasionar problemas de inicio de sesión con clientes que tengan versiones anteriores a NT 4.0 con service pack 4.. Pero si tenemos ese problema también tiene solución según microsoft ntlmv2 se encuentra disponible para Windows 98 y 95 instalando el Active Directory Client Extensions, y tocando un poco el registro, aquí habla un poco del tema http://support.microsoft.com/kb/239869 . Bueno vayamos a cambiar nuestras directivas: Podemos cometer el siguiente fallo: Configuración de seguridad Local > Directivas Locales > Opciones de seguridad > Seguridad de redes: Nivel de autenticación LAN Manager y señalamos Enviar solo respuesta NTLMv2\rechazar LM Probaremos esta configuración mas abajo., pero cuidado, estamos aceptando NTLM sin darnos cuenta!! Esto puede llevar a engaño, pensando que solo estamos aceptando NTLMv2, pero también aceptan NTLM, aun tenemos posibilidades de llevarnos por delante la contraseña, como veremos mas adelante. Para rechazar LM y NTLM realmente y solo usar NTLMv2 debemos cambiar la siguiente directiva: Configuración de seguridad Local > Directivas Locales > Opciones de seguridad >Enviar solo respuesta NT Lan Manager versión 2\Rechazar Lan Manager y NT Lan Manager
Como podéis observar, siempre con la claridad que Microsoft nos tiene acostumbrados.
Otra manera de verlo es entrando en el registro HKLM\SYSTEM\CurrentControlSet\ Control\Lsa el valor DWORD lmcompatibilitylevel, tiene que esta en 5, para ver los valores que pueden tomar: http://www.microsoft.com/technet/prodtechnol/ windows2000serv/reskit/regentry/76052.mspx?mfr=true También deberíamos cambiar otras dos directivas, en Seguridad de red: seguridad mínima de sesión para clientes basados en NTLM SSP (incluyendo RPC seguro) y Seguridad de red: seguridad mínima de sesión para servidores basados en NTLM SSP (incluyendo RPC seguro), habilitamos las 4 opciones que tienen:
. 7.2.- Jugada Maestra Modifiquemos la siguiente directiva: Configuración de seguridad Local > Directivas Locales > Opciones de seguridad > Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña Ahora cambiaremos la contraseña de los usuarios, podemos poner las mismas y no almacenara los valores hash de Lan Manager en el cambio de contraseña Haciendo solo uso de NTLMv2 veremos que Ophcrack por remoto no deja. Y en local, nada de nada todo empty, y el archivo que nos puede generar: Administrador:500:aad3b435b51404eeaad3b435b51404ee::/EMPTY/::/EMPTY/ Invitado:501:aad3b435b51404eeaad3b435b51404ee::/EMPTY/::/EMPTY/ ddiego:1003:aad3b435b51404eeaad3b435b51404ee::/EMPTY/::/EMPTY/ Solo el nombre de usuario
8.- Averiguando contraseñas con LM desactivado, pero aceptando NTLM. Ahora imaginemos que Ophcrack, que solo hemos deshabilitado LM y estamos aceptando autentificación NTLM. Como puede ser perfectamente tener habilitado Enviar solo respuesta NTLMv2\rechazar LM
Como podemos observar nos aparece todos /EMPTY/, hasta el que hemos metido para acceder al recurso admin.$ nos aparece /EMPTY/ “Not Found”. El atacante se quedara con la boca abierta. Pero nos damos cuenta de una cosa, vamos a eliminar esa cuenta de Asistente de ayuda y nos encontramos con el siguiente mensaje:
Negocio, negocio, esto pasa por no almacenar el valor de Hash de Lan Manager. Esta tabla rainbow de hashes nt que anuncian, es de pago y según la página de ophcrack las proporcionan ellos mismos: http://www.objectif-securite.ch/en/products.php. Entonces nos queda dos opciones pedir una subvención o seguir este manual.
“NT hashes need to be cracked when the weaker LM hash has been disabled. This can be done for security reasons and is the default setting for Windows Vista.”
No la he probado. Pero bueno el mensaje no saldría si encontrara una contraseña en alguno de los usuarios, seria fácil tener alguno para evitar este More Info jeje, aunque también seria arriesgado, porque sigues siendo vulnerable.
Y iniciando con el Live CD en local nos encontramos con el mismo panorama y todos empty 9.- No tengo dinero para comprar ni media tabla. Pues llamemos a CAIN que invita! Se me ocurren dos maneras de conseguir estas tablas que nos facilitarán la labor de recuperar estas contraseñas
9.1.- Descargando tablas rainbow. Primero nos bajaremos unas tablas de rainbow para NTLM, yo me he bajado unas que resuelven hasta 6 caracteres alfanuméricos de hasta 6 caracteres. Me los he bajado de aquí: http://rt.aspietom.co.uk/, también podemos encontrar más en: http://www.freerainbowtables.com/rainbow_tables/ y varias más que he encontrado en su foro: http://www.napsko.com/jerome/ ftp://rt:[email protected]/ http://rainbowtables.ddl.cx/ http://rt.75x.org/ http://rt.walshnetwork.co.uk/ http://rt.chrysaor.info/ ftp://mirror2.fpux.com/ http://rt.aspietom.co.uk/ 9.2.- Creando tablas rainbow con Winrtgen. Otra opción aunque más lenta es crear nuestras propias tablas, con Winrtgen que nos lo proporcionan en http://www.oxid.it/projects.html, al final podemos ver: “Winrtgen is a graphical Rainbow Tables Generator that supports LM, FastLM, NTLM, LMCHALL, HalfLMCHALL, NTLMCHALL, MSCACHE, MD2, MD4, MD5, SHA1, RIPEMD160, MySQL323, MySQLSHA1, CiscoPIX, ORACLE, SHA-2 (256), SHA-2 (384) and SHA-2 (512) hashes” Con esta herramienta podremos crear nuestras tablas a nuestro gusto, aunque tardaremos un poco más que descargándolas: Veamos la herramienta:
Al abrir le damos a Add Table, y ahí nos deja elegir el tipo de tabla que queremos, podremos elegir un hash NTLM, la longitud de la tabla, en que número de tablas
queremos que nos la genere, y el juego de caracteres “charset” que queremos que tenga. Una vez elegido nos aparecen las tablas, en la ventana de la izquierda y solo hay que darle a OK.
En mi caso he generado 3 tablas, NTLM de hasta 7 caracteres alfanuméricos, y no os preocupéis podéis parar el trabajo y continuar generándolo después. A la derecha sale el porcentaje, en generarla tarda un buen rato. 10.- Haciendo uso de Cain para los hash NTLM . Pero si habéis bajado alguna tabla rainbow de la red, o de la página que os he indicado más arriba, podemos ir a ophcrack, indicar la ip de nuestra victima, veremos que nos vuelve a salir al advertencia de que usemos tablas Nthash. Pues ahora le damos al menú Save as, y guardamos como save.oph.txt. Dentro de este archivo veremos: Administrador:500:aad3b435b51404eeaad3b435b51404ee:06e7cd27e9e3ecf4426211d37ca2b236:/EMPTY/:: ddiego:1003:aad3b435b51404eeaad3b435b51404ee:1554787e79ad53d75eb2282906b407d1:/EMPTY/:: Invitado:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:/EMPTY/::/EMPTY/ Bueno he cambiado las claves de nuevo, por la longitud de la tabla que me he bajado. Ahora vamos a Caín, vamos a la pestaña Cracker y le damos al botón derecho Add to list.
Vamos a Import Hashes from a text file,damos a OK y luego a Next, ahí podemos señalar las cuentas que queremos averiguar la contraseña., podemos borrar las que queramos con Supr, o seleccionar varias.
Ahora señalamos las tablas, en Add Table, le damos a Start, unos minutos al horno y estará listo.
He cambiado las contraseñas, de usuario administrador a prueba y la de ddiego, porque las tablas que me baje son de 6 caracteres como máximo.
11.- Otra forma de crackeo rápida, efectiva y barata, de la mano de plain-text.info
He cambiando la contraseña de administrador de nuevo a 1234.
Ahora vamos a Save As como antes, y guardamos el archivo como viene por defecto:
save.oph
Ahora veamos los que hay dentro:
Administrador:500:aad3b435b51404eeaad3b435b51404ee:7ce21f17c0aee7fb9ceba532d0546ad6::: ddiego:1003:aad3b435b51404eeaad3b435b51404ee:df3a9b37122daa575c3698e7452b9473::: Invitado:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: Podemos googlear para buscar alguna coincidencia, o lo que es mejor ir a esta página: http://plain-text.info/search/ vamos a meter en hash: 7ce21f17c0aee7fb9ceba532d0546ad6 , damos a search y nos sale el resultado:
Si buscamos 31d6cfe0d16ae931b73c59d7e0c089c0 del usuario invitado, veremos que es verdaderamente empty
También podemos hacer nuestras propias aportaciones a la página.
Como podéis observar, podemos sacar contraseñas de manera bastante efectiva y fácil.
11.- Interceptando passwords en la red con Caín y NTLMv2.
Vamos a ponernos a escuchar todo lo que pasa en la red, en este caso son tres equipos 192.168.0.201 que es el equipo en el que queremos averiguar la contraseña y que esta compartiendo recursos, 192.168.0.200 que es un equipo de un usuario de la red que entra normalmente a los recursos compartidos del .201 como un usuario del grupo administradores y nosotros en nuestro equipo .128 en el medio escuchando todo lo que hablan, los dos equipos usan NTLMv2 y descartan todo lo demás.
Entonces vamos a sniffer de Cain
Señalamos, los 3 botones que he señalado en rojo de la imagen siguiente para activar, después de esto nos vamos al equipo 192.168.0.200 e intentamos entrar en el 201, a c$ pro ejemplo con usuario disidents contraseña 2008, el sniffer comenzara a funcionar:
Y más a la derecha sale:
Como podemos comprobar este es el tráfico que me interesa, esto significa que me he logeado varias veces, por lo tanto lo señalo y con el botón derecho le doy a Send to Cracker, como muestra la siguiente captura, podemos ver que podemos mandar uno o varios, con uno de ellos seria suficiente:
Ahora vamos a Cracker y veremos que dentro de NTLMv2 esta lo que mandamos desde el sniffer, ahora vamos a señalar el último logeo que hice y darle con el botón derecho, Brute-Force Attack, o si tienes diccionarios usar un diccionario.
Lo voy a configurar para que use tome solo caracteres numéricos para que la encuentre bien rápido, también como podéis observar admite uso de diccionario.
12.0- Auditando inicios, cierres de sesión y entradas a carpetas. Queremos saber quién, como y a que hora entra un usuario en nuestro equipo, si entra desde la red, en local… Vamos a Configuración de Seguridad Local > Directivas Locales > Directiva de Auditoria > Auditar sucesos de inicio de sesión
Ahora vamos a probar a logearnos con Ophcrack, vamos a comprobar primero el mensaje que nos daría si alguien intentara entrar en red con una contraseña errónea, vamos al Visor de sucesos > Seguridad
Suceso: 529 Según Microsoft “Error de inicio de sesión. Se intentó iniciar sesión con un nombre de usuario desconocido o un nombre de usuario conocido con una contraseña no válida.” XPVIRTUAL: Es nombre de el equipo donde estamos intentando conectarnos disidents: Es el nombre de usuario con el que estamos intentando logearnos Tipo de inicio de sesión: 3 Es el tipo de sesión “Network”, un usuario quiere conectarse desde la red. Para ver los tipos de sesión y los sucesos podéis entrar en la página de microsoft: http://technet2.microsoft.com/windowsserver/es/library/e104c96f-e243-41c5-aaea-d046555a079d3082.mspx?mfr=true Proceso de inicio de sesión: NTLM
Ahora veremos un inicio de sesión correcto:
En este caso los datos son los mismos, pero el Id de suceso es 540, lo que quiere decir que el usuario a iniciado una sesión en una red satisfactoriamente. Ahora vamos a auditar el acceso de una carpeta compartida: 1º Tenemos que ir a Directivas locales > Directivas de auditoria > Auditar acceso a objetos Ahí vamos a marcar, Correcto y Erróneo
Después de esto vamos a ir a propiedades de la carpeta compartida, por ejemplo vamos a elegir c:\windows, veremos que esta compartida admin$, esto podríamos hacerlo con cualquier directorio o archivo. Dentro de las Propiedades, iremos a la pestaña Seguridad > Botón [Opciones avanzadas]
Posteriormente iremos a la pestaña Auditoria, para agregar los grupos o usuarios que deseamos auditar, en mi ejemplo auditare al grupo Todos, (esto es solo una prueba para ver como funciona, en un caso real no es conveniente realizar auditorias tan poco selectivas ya que sobrecargan el sistema, y como podemos comprobar en el visor de sucesos nos aparece inundado en cuestión de segundos, podríamos seleccionar un usuario o grupo de forma más especifica, objetos a auditar, etc…), . Bueno pero espero que os sirva de orientación, vamos al botón Agregar, y después metemos el usuario o grupo a mano, o podemos ir a Avanzadas > Buscar ahora para que nos muestre los usuarios y grupos del equipo.
Ahora iniciaremos Ophcrack desde otro equipo, y podremos observar en el visor de sucesos del equipo donde hemos aplicado la directiva como carga PWDUMP, veremos entradas en los eventos apuntando a C:\WINDOWS (pwdservice.exe, LsaExt.dll, test.pwdump)
Ahora podemos ver y entender como actúa Ophcrack en el equipo remoto, si corréis un monitor de procesos veréis todo lo que pasa en vuestro pc con más detalle.
13.0- Enlaces de interés. Os pongo algunos enlaces interesantes y de utilidad, puede que con el tiempo cambien si es así tendréis que buscar.
FAQ Ophcrack: http://ophcrack.sourceforge.net/es.faq.php Cain & Abel: User Manual: http://www.oxid.it/ca_um/ Amenazas y contramedidas: configuración de seguridad en Windows Server 2003 y Windows XP: http://www.microsoft.com/spain/technet/security/topics/serversecurity/ tcg/tcgch00.mspx Configuración de seguridad para clientes Windows XP: http://www.microsoft.com/ spain/technet/recursos/articulos/secmod62.mspx plain-text.info: http://plain-text.info/ Rainbow Hash Cracking: http://www.codinghorror.com/blog/archives/000949.html 14.0- Despedida. Espero que os haya divertido el artículo, se me ha extendido un poco mas de la cuenta, pero bueno. Los próximos que realice posiblemente serán sobre otros temas, más relacionados con programación. Me gustaría saludar y agradecer a todos los que han hecho y siguen haciendo posible Disidents durante todos estos años, a ellos y a todos los que nos leéis os dedico este artículo.