https://seraldinho.pages.dev/tags/windows/Recent content in Windows on seraldinho.pages.devHugo -- gohugo.ioesnseral@proton.me (Nicolás Seral)nseral@proton.me (Nicolás Seral)© 2026 Nicolás Seralhttps://seraldinho.pages.dev/notas/tecnicas/pth/Mon, 01 Jan 0001 00:00:00 +0000nseral@proton.me (Nicolás Seral)https://seraldinho.pages.dev/notas/tecnicas/pth/<h2 class="relative group">Introducción <div id="introducción" class="anchor"></div> <span class="absolute top-0 w-6 transition-opacity opacity-0 -start-6 not-prose group-hover:opacity-100 select-none"> <a class="text-primary-300 dark:text-neutral-700 !no-underline" href="#introducci%c3%b3n" aria-label="Ancla">#</a> </span> </h2> <p>Tanto en entornos AD y sistemas Windows independientes es posible realizar un ataque PtH, que consiste en usar el hash NTLM de un usuario ya autenticado y usarlo para autenticarnos en otros servicios, sin necesidad de una contraseña conocida.</p> <p>Esto es posible debido al funcionamiento de la autenticación NTLM:</p> <blockquote><p>En sistemas Windows sin AD, las credenciales del usuario se almacenan en el SAM como hashes NT, mientras que en entornos AD se almacenan (también como hashes) en los controladores de dominio (DC).</p>https://seraldinho.pages.dev/notas/tecnicas/psexec/Mon, 01 Jan 0001 00:00:00 +0000nseral@proton.me (Nicolás Seral)https://seraldinho.pages.dev/notas/tecnicas/psexec/<h2 class="relative group">Explicación e implementación básica <div id="explicación-e-implementación-básica" class="anchor"></div> <span class="absolute top-0 w-6 transition-opacity opacity-0 -start-6 not-prose group-hover:opacity-100 select-none"> <a class="text-primary-300 dark:text-neutral-700 !no-underline" href="#explicaci%c3%b3n-e-implementaci%c3%b3n-b%c3%a1sica" aria-label="Ancla">#</a> </span> </h2> <p>PsExec es una herramienta que permite ejecutar procesos en otros sistemas de la red sin tener que instalar nada manualmente. Hay varias implementaciones de la herramienta:</p> <p>Por defecto, al ejecutar <code>psexec.exe</code>:</p> <ol> <li>El programa copia el ejecutable <code>PSEXESVC.exe</code>, ubicado dentro del propio <code>psexec.exe</code>, al share <code>ADMIN$</code> del objetivo (A través de SMB, y que apunta a <code>C:\Windows</code>)</li> <li>Mediante el API de servicios de Windows (SVCCTL RPC), contactando con él a través de MSRPC (p135) o de named pipes (Share <code>$IPC</code>, p139,445), crea un nuevo servicio con el ejecutable subido antes, con privilegios <code>SYSTEM</code>.</li> <li>Ese nuevo servicio crea varios named pipes nuevos en el share a través de los cuales tendrá lugar la comunicación.</li> <li>Al terminar, PsExec detiene el servicio y lo borra del sistema, pero <em>el binario de <code>C:\Windows</code> puede quedar ahí, lo que deja rastro de la conexión</em>.</li> </ol> <p>Por esto último hay otras implementaciones, algunas que siguen el modelo original, pero reescritas en otros lenguajes, y otras que se ejecutan únicamente en memoria.</p>