Hashes windows #

NTLM (NT Hash):
- Creat directament del password de l'usuari format de generar la has és un md4 de utf-16le. hashlib.new('md4', password.encode('utf-16le')).digest().encode('hex').upper()
- Es pot fer un pass the hash (fer-se passar per la víctima sense tan sols crackejar-lo).
- Per fer el pass the hash s'utilitza mimikatz o Windows Credential Editor o psexec de metasploit
- Serveix per enmagatemar a la SAM
- El ADDC enmagatzemen aquests en un fitxer anomenat NTDS.dit
LM Hash versió antiga e insegura del mateix
NET-NTLMv2
- Es tracta d'un hash de sessió i per tant no queda enmagatzemat
- No es pot fer pass the hash

LLMNR i NBT-NS / Captura de hashes #

NEtbios, LLMNR són sistemes de resolució de noms basats en broadcast que poden ser utilitzats per a fer les captures de les hashes
- Link-Local Multicast Name Resolution (LLMNR) i NetBIOS Name Service (NBT-NS)
- serveixen per a la identificació de hosts.
- LLMNR es basa en DNS i NBT-NS identifica els hosts pel seu nom netbios.
Quan DNS no obté resposta protocols com LLMNR i NBT-NS s'activen. Aquests protocols funcionen via broadcast i confien en qualsevol respota que rebin

Afegir un web server que requereix NTLM authentication
La victima (amb phishing) i accedeix i el web server reenvia els paquets al servidor que es vol atacar

L'atacant fa un spoofing del servei responent a les peticions LLMNR i NBT-NS.
Si el host accedeix a un recurs que necessita autentificació el nom i la hash NTLMv2 seran enviades al atacant.
Amb aquesta hash podrà:
- executar un procés de força bruta per obtenir la contrasenya en text pla
- interceptar la hash i reenviar-la al servidor executant codi contra aquest.
Pràctica

Aquest tipus d'enmetzinament suplanta les caches de d'ordinadors i switch amb l'objectiu de fer un Adversary in The Middle
Explicar protocol ARP i IPv4