Studiu de caz: Windows post explotation

Am avut sansa intr-un audit, in care s-au intamplat multe si despre care poate o sa mai povestesc, sa fac un test de securitate pentru un domeniu Windows securizat foarte bine, unde Domain Controller-ele nu foloseau sau stocau parole in format LM Hash. Am reusit sa gasesc o statie care nu facea parte din procesul de patch regulat care era aplicat intregului domeniu. Pe aceasta statie am devenit administrator local si cu ajutorul hashdump-ului din meterpreter am reusit sa obtin parolele salvate pentru utilizatorii care s-au logat pe aceasta statie. Problema era ca politica de domeniu forta complexitatea si lungimea parolei. John the Ripper, dupa 62 de zile, nu a reusit sa obtina nici o parola.

62:04:57:04 – Expanding tables for length 8 to character count 38

62:04:57:04 – Trying length 8, fixed @7, character count 38

Solutia: Ce este un token de access al unui proces in windows?  Este un obiect care descrie contextul de securitate al unui proces. Mai multe despre token-uri aici . Ce se poate face cu aceste token-uri?  In momentul in care esti logat pe o statie si ai drepturi de SYSTEM poti sa impersonezi temporar unul din token-urile create de logarea unui administrator de domeniu si sa reusesti sa executi comenzi in contextul lui. Prezentarea de la Defcon 15 aici . Pentru asta exista suita de utilitare numita incognito . Ea este acum prezenta si in framework-ul 3.2 de la Metasploit. Optiunea find_token permite listarea token-urilor existente si optiunea execute permite lansarea unui executabil in contextul dorit.

Have fun next time. 😉