Samba Relay IPv4 & IPv4

Cómo funciona el ataque

Con este ataque utilizaremos la herramienta Responder que recomiendo que os la descarguéis de github, que su función es envenenar la red, en entornos de Dominio Activo, hay muchas tareas que se ejecutan por detrás (inventario de software, antivirus, recursos compartidos etc...).

Entonces, pongámonos en situación, nosotros hemos enumerado el sistema, sabemos cuál es el nombre del DC, en este dominio puede pasar que hayan recursos compartidos por ejemplo, que han dejado de estar activos/o no existen pero que el DC sigue realizando llamadas por detrás a ese recurso, entonces nosotros podríamos mediante el Responder capturar esa petición y recibir el Cliente/ Usuario/ Hash del usuario allimos por ejemplo.

IPv4

Antes de ejecutar el Responder.py, lo tenemos que configurar el archivo Responder.conf de la siguiente manera:

responder.conf

Ejecutamos el responder:

sudo python3 Responder.py -I eth0 -v

Este envenenará la red y si ese recurso compartido se está ejecutando por detrás podemos capturar esa petición o recurso:

Hemos obtenido el usuario allimos con su hash, pudiendo crackearlo con john por ejemplo

Si queréis reproducir este ataque en local, podéis crear un DC y conectarlo a un Windows 10 Enterprise/Pro y realizar una petición desde el cliente a un recurso compartido inexistente \\inexistente\test

Otro buen artículo de apoyo al ataque:

https://globalt4e.com/ataques-smb-relay/globalt4e.com

IPv6

Si por ejemplo el IPv4 esta bien parcheado y no se encuentra nada, siempre está la opción de envenenar los dispositivos con IPv6. El siguiente proceso es parecido al de arriba pero con IPv6, estaremos envenenando el dominio de la empresa con el NTLM relay, y utilizaremos proxychains y socks para crear un túnel y poder ejecutar comandos sin tener la contraseña correcta del usuario.

Para ello estaremos utilizando la herramienta mitm6 que podéis descargar en github, y lo ejecutáis

sudo python mitm6.py -d j4ckie.local

Podemos ver que se ha efectuado en envenenamiento a los equipos

Ahora mediante la herramienta ntlmrelayx.py que deberías tenerla instalada por defecto en vuestra Kali/Parrot etc podemos realizar una conexión socks y crear el túnel:

ntlmrelayx.py -6 -wh <Nuestra IP> -t smb://IP cliente -socks -debug -smb2support

Una vez ejecutado, ahora si hay un recurso inexistente cómo en el de IPv4 ejecutándose por detrás, podemos obtener la petición y debería detectarla en el ntlmrelayx:

Dándole a socks, podemos ver que hemos obtenido un usuario llamado Xerosec, pero no tiene AdminStatus = TRUE, si fuera TRUE significa que tiene permisos cómo Administrador, de ser así podríamos utilizar ese usuario para ejecutar comandos como administrador mediante crackmapexec, por ejemplo.

En este caso, el usuario allimos si que tiene permisos como administrador

Añadimos en el proxychains la línea socks4 127.0.0.1 1080 para que se cree el túnel y entonces con proxychains, comprobar sin saber la contraseña de usuario allimos tenemos Pw3d! el sistema.

Referencia

Esta parte la saque del vídeo de s4vitar de Active Directory, que de hecho os recomiendo mucho que os lo veáis porque esta genial.