Técnicas & Herramientas on seraldinho.pages.dev

Enumeración de Infraestructuras

nseral@proton.me (Nicolás Seral) — Mon, 01 Jan 0001 00:00:00 +0000

Introducción
#

La enumeración de la infraestructura de una empresa u organización empieza desde el punto de vista más global, desde los sistemas autónomos (AS), y se va volviendo más específico hasta llegar a IPs y servidores específicos.

1. Sistemas Autónomos (AS)
#

Un AS es una colección de redes IP (rangos CIDR) que están bajo el control de una misma entidad administrativa, como pueden ser ISPs o empresas.

Pass-The-Hash

nseral@proton.me (Nicolás Seral) — Mon, 01 Jan 0001 00:00:00 +0000

Introducción
#

Tanto en entornos AD y sistemas Windows independientes es posible realizar un ataque PtH, que consiste en usar el hash NTLM de un usuario ya autenticado y usarlo para autenticarnos en otros servicios, sin necesidad de una contraseña conocida.

Esto es posible debido al funcionamiento de la autenticación NTLM:

En sistemas Windows sin AD, las credenciales del usuario se almacenan en el SAM como hashes NT, mientras que en entornos AD se almacenan (también como hashes) en los controladores de dominio (DC).

Port Forwarding

nseral@proton.me (Nicolás Seral) — Mon, 01 Jan 0001 00:00:00 +0000

Port Forwarding Estático
#

Nota: Objetivo

Mapear un puerto específico de una máquina a otra (relación 1 a 1). Útil para acceder a un servicio interno concreto o para recibir una reverse shell desde una subred aislada.

PSExec

nseral@proton.me (Nicolás Seral) — Mon, 01 Jan 0001 00:00:00 +0000

Explicación e implementación básica
#

PsExec es una herramienta que permite ejecutar procesos en otros sistemas de la red sin tener que instalar nada manualmente. Hay varias implementaciones de la herramienta:

Por defecto, al ejecutar psexec.exe:

El programa copia el ejecutable PSEXESVC.exe, ubicado dentro del propio psexec.exe, al share ADMIN$ del objetivo (A través de SMB, y que apunta a C:\Windows)
Mediante el API de servicios de Windows (SVCCTL RPC), contactando con él a través de MSRPC (p135) o de named pipes (Share $IPC, p139,445), crea un nuevo servicio con el ejecutable subido antes, con privilegios SYSTEM.
Ese nuevo servicio crea varios named pipes nuevos en el share a través de los cuales tendrá lugar la comunicación.
Al terminar, PsExec detiene el servicio y lo borra del sistema, pero el binario de C:\Windows puede quedar ahí, lo que deja rastro de la conexión.

Por esto último hay otras implementaciones, algunas que siguen el modelo original, pero reescritas en otros lenguajes, y otras que se ejecutan únicamente en memoria.

Python Cache Poisoning

nseral@proton.me (Nicolás Seral) — Mon, 01 Jan 0001 00:00:00 +0000

El python cache poisoning es una vulnerabilidad (o técnica, según se mire) que permite escalar privilegios aprovechando la confianza de Python en archivos bytecode (.pyc) precompilados de scripts que ejecuta (normalmente con privilegios elevados).

Cuando Python ejecuta un script o importa una librería, hace lo siguiente:

Si no existe una versión precompilada, compila el código fuente a bytecode, que normalmente se almacena en __pycache__/NOMBRELIB.cpython-VERSION.pyc o (menos común) bajo un prefijo PYTHONPYCACHEPREFIX.
Si existe una versión precompilada, comprueba la cabecera (Magic Number que depende de la versión de Python, flags, metadatos como timestamp, size o hash), y, si al compararla con el .py original está bien, la ejecuta confiando en el .pyc.

Nota: Escalada de privilegios

Si un proceso con más privilegios ejecuta un .py o importa un módulo cuyo .pyc ha sido manipulado por un usuario menos privilegiado (y pasa la comprobación de cabecera), el payload corre con esos privilegios elevados.

Python Library Hijacking

nseral@proton.me (Nicolás Seral) — Mon, 01 Jan 0001 00:00:00 +0000

El Python Library Hijacking es una técnica de escalada de privilegios que consiste en aprovechar la forma en la que Python busca las librerías para cargar código malicioso en lugar de las librerías originales.

Funcionamiento
#

Python busca módulos en un órden específico definido por sys.path, que puede verse de la siguiente manera:

1
2


$ python3 -c 'import sys; print(sys.path)'
['', '/usr/lib/python312.zip', '/usr/lib/python3.12', '/usr/lib/python3.12/lib-dynload', '/usr/local/lib/python3.12/dist-packages', '/usr/lib/python3/dist-packages']

Normalmente, el orden es el siguiente:

SSRF

nseral@proton.me (Nicolás Seral) — Mon, 01 Jan 0001 00:00:00 +0000

Server-Side Request Forgery
#

Una vulnerabilidad SSRF se da cuando un atacante manipula una aplicación para realizar solicitudes a URLs arbitrarias.

Por ejemplo, si un servidor debe solicitar datos de otros servidores en función del input de un usuario, un atacante puede hacer que las solicitudes se hagan a sitios o recursos en los que el desarrollador no había pensado en un primer momento.

SSTI

nseral@proton.me (Nicolás Seral) — Mon, 01 Jan 0001 00:00:00 +0000

Server-Side Template Injection
#

Template Engines
#

Un Template Engine es un software que combina plantillas predefinidas con datos generados dinámicamente y que las apps web suelen utilizar para generar respuestas dinámicas.

Por ejemplo, una página web con un header que “saluda al usuario” podría contener un código como:

XSS

nseral@proton.me (Nicolás Seral) — Mon, 01 Jan 0001 00:00:00 +0000

Cross-Site Scripting
#

Una aplicación web normal funciona recibiendo código HTML del servidor y renderizándolo en el navegador del cliente. Si una aplicación web no valida ni limpia el input del usuario correctamente, el usuario puede introducir código js en un campo de input para que, cuando él mismo u otro usuario vea la página, ese código js se ejecute en su navegador.

Técnicas & Herramientas on seraldinho.pages.dev

Enumeración de Infraestructuras

Introducción #

1. Sistemas Autónomos (AS) #

Pass-The-Hash

Introducción #

Port Forwarding

Port Forwarding Estático #

PSExec

Explicación e implementación básica #

Python Cache Poisoning

Python Library Hijacking

Funcionamiento #

SSRF

Server-Side Request Forgery #

SSTI

Server-Side Template Injection #

Template Engines #

XSS

Cross-Site Scripting #

Introducción
#

1. Sistemas Autónomos (AS)
#

Introducción
#

Port Forwarding Estático
#

Explicación e implementación básica
#

Funcionamiento
#

Server-Side Request Forgery
#

Server-Side Template Injection
#

Template Engines
#

Cross-Site Scripting
#