Existen diferentes métodos de acceso a equipos. Estos van a depender de nuestras necesidades y lo que queramos obtener.
Algunos métodos de acceso a equipos se pueden dar por medio de la técnica pass the hash, en la que los sistemas Windows y los entornos de autenticación mediante NTLM usan hashes para permitir a los usuarios autenticarse en servicios Microsoft remotos.
En este post, veremos algunos de esos métodos de acceso a equipos.
Métodos de acceso a equipos
La técnica pass the hash consiste en hacer uso de hashes, en caso de contar con ellos, parar superar el desafío-respuesta (challenge response) firmado con el hash NTLM y autenticarse en el sistema remoto. En caso de disponer de este hash, es posible suplantar al dueño del hash y acceder a los equipos que tengan este tipo de autenticación habilitada, donde el usuario tenga permiso de acceso.
Veamos los métodos de acceso a equipos que podemos obtener por medio de esta técnica de ciberataque.
Acceso por consola mediante SMB
//Métodos de acceso a equipos
$ impacket - smbexec <dominio> / <usuario> @ <ip> -hashes <LM : NTLM>
El acceso por consola mediante SMB alude a la capacidad de acceder y controlar una consola de texto en un sistema remoto a través del protocolo SMB (Server Message Block). SMB es un protocolo utilizado principalmente en sistemas Windows para compartir archivos, impresoras y otros recursos de red.
El acceso por consola mediante SMB es uno de los métodos de acceso a equipos que le permite a un usuario o administrador interactuar con la consola de comandos de un sistema remoto desde otra máquina en la red. Esto puede ser útil en situaciones donde no se dispone de acceso físico al sistema o cuando se necesita administrar o solucionar problemas en un sistema remoto de forma remota.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaPara establecer el acceso por consola mediante SMB, se utiliza un cliente de consola compatible y se establece una conexión a través del protocolo SMB al sistema remoto. Una vez establecida la conexión, se puede interactuar con la consola de comandos del sistema remoto, como si estuvieras físicamente presente en ese sistema. Esto permite ejecutar comandos, administrar archivos y directorios, configurar el sistema y realizar otras tareas de administración.
Acceso por consola mediante WMI
El acceso por consola mediante WMI (Windows Management Instrumentation) es un método que permite interactuar con el sistema operativo Windows al utilizar comandos a través de la línea de comandos o la interfaz de línea de comandos (CLI). WMI es una infraestructura de administración de Windows que proporciona información y control sobre los componentes y servicios del sistema operativo.
El acceso por consola mediante WMI permite realizar una variedad de tareas, como consultar y modificar la configuración del sistema, obtener información sobre hardware y software, administrar servicios y procesos o monitorear eventos del sistema, entre otros.
Para acceder a WMI desde la consola, se utiliza el comando wmi
, seguido de parámetros y consultas específicas. Un ejemplo común de uso puede ser:
//Métodos de acceso a equipos
$ impacket - wmiexec <dominio> / <usuario> @ <ip> -hashes <LM : NTLM>
Acceso con Powershell mediante SMB (Invoke-TheHash)
//Métodos de acceso a equipos
PS> Invoke - TheHash -Type SMBExec - Target <ip / CIDR> -Domain <dominio> -Username <user> -Hash <NTLM>
El acceso con PowerShell mediante SMB (Invoke-TheHash) es una técnica que utiliza el lenguaje de scripting PowerShell para obtener credenciales de inicio de sesión almacenadas en un archivo hash LM/NTLM en un entorno de red. Esta técnica se basa en aprovechar la debilidad de los hashes de contraseñas almacenados en el protocolo SMB (Server Message Block) utilizado en sistemas Windows.
El comando Invoke-TheHash es una herramienta de PowerShell que automatiza la extracción de hashes LM/NTLM de manera remota desde sistemas Windows a través del protocolo SMB. Esta herramienta puede ejecutarse desde una máquina atacante y utiliza las credenciales de un usuario privilegiado para obtener los hashes almacenados en los sistemas objetivo.
Ahora que conoces algunos de los métodos de acceso a equipos para la intrusión mediante la técnica de ciberataque pass the hash, ya sabes cuáles son las medidas que debes tomar para proteger tu sistema. Para seguir aprendiendo, inscríbete en nuestro Bootcamp en Ciberseguridad, una formación de alta intensidad en la que aprenderás todo lo necesario para impulsar tu carrera en el mundillo IT en pocos meses. ¡Solicita información ya mismo y atrévete a dar el paso que transformará tu futuro!