Windows

Enumeracion en Windows

En esta tarea, asumimos que tiene acceso a cmdun host de Microsoft Windows. Es posible que haya obtenido este acceso explotando una vulnerabilidad y obteniendo un shell o un shell inverso. Es posible que también haya instalado una puerta trasera o haya configurado un servidor SSH en un sistema que aprovechó. En todos los casos, es necesario cmdejecutar los siguientes comandos.

En esta tarea, nos centramos en enumerar un host de MS Windows. Para enumerar MS Active Directory, le recomendamos que consulte la sala Enumeración de Active Directory . Si está interesado en una escalada de privilegios en un host de MS Windows, le recomendamos la sala Windows Privesc 2.0 .

Le recomendamos que haga clic en " Iniciar AttackBox " y " Iniciar máquina " para que pueda experimentar y responder las preguntas al final de esta tarea.

Sistema

Un comando que puede darnos información detallada sobre el sistema, como su número de compilación y parches instalados, sería systeminfo. En el siguiente ejemplo, podemos ver qué revisiones se han instalado.

C:\>systeminfo

Host Name:                 WIN-SERVER-CLI
OS Name:                   Microsoft Windows Server 2022 Standard
OS Version:                10.0.20348 N/A Build 20348
OS Manufacturer:           Microsoft Corporation
[...]
Hotfix(s):                 3 Hotfix(s) Installed.
                           [01]: KB5013630
                           [02]: KB5013944
                           [03]: KB5012673
Network Card(s):           1 NIC(s) Installed.
                           [01]: Intel(R) 82574L Gigabit Network Connection
[...]

Puede verificar las actualizaciones instaladas usando wmic qfe get Caption,Description. Esta información le dará una idea de la rapidez con la que se parchean y actualizan los sistemas.

C:\>wmic qfe get Caption,Description
Caption                                     Description      
http://support.microsoft.com/?kbid=5013630  Update
https://support.microsoft.com/help/5013944  Security Update
                                            Update

Puede verificar los servicios de Windows instalados e iniciados usando net start. Espere obtener una lista larga; el resultado a continuación ha sido recortado.

C:\>net start
These Windows services are started:

   Base Filtering Engine
   Certificate Propagation
   Client License Service (ClipSVC)
   COM+ Event System
   Connected User Experiences and Telemetry
   CoreMessaging
   Cryptographic Services
   DCOM Server Process Launcher
   DHCP Client
   DNS Client
[...]
   Windows Time
   Windows Update
   WinHTTP Web Proxy Auto-Discovery Service
   Workstation

The command completed successfully.

Si solo está interesado en las aplicaciones instaladas, puede emitir wmic product get name,version,vendor. Si ejecuta este comando en la máquina virtual adjunta, obtendrá algo similar al siguiente resultado.

C:\>wmic product get name,version,vendor
Name                                                            Vendor                                   Version
Microsoft Visual C++ 2019 X64 Minimum Runtime - 14.28.29910     Microsoft Corporation                    14.28.29910
[...]
Microsoft Visual C++ 2019 X64 Additional Runtime - 14.28.29910  Microsoft Corporation                    14.28.29910

Usuarios

Para saber quién eres, puedes correr whoami; además, para saber de qué eres capaz, es decir, tus privilegios, puedes utilizar whoami /priv. Se muestra un ejemplo en la salida del terminal a continuación.

C:\>whoami
win-server-cli\strategos

> whoami /priv

PRIVILEGES INFORMATION
----------------------

Privilege Name                            Description                                                        State
========================================= ================================================================== =======
SeIncreaseQuotaPrivilege                  Adjust memory quotas for a process                                 Enabled
SeSecurityPrivilege                       Manage auditing and security log                                   Enabled
SeTakeOwnershipPrivilege                  Take ownership of files or other objects                           Enabled
[...]

Además, puedes utilizarlo whoami /groupspara saber a qué grupos perteneces. La salida del terminal a continuación muestra que este usuario pertenece, NT AUTHORITY\Local account and member of Administrators groupentre otros grupos.

C:\>whoami /groups

GROUP INFORMATION
-----------------

Group Name                                                    Type             SID          Attributes
============================================================= ================ ============ ===============================================================
Everyone                                                      Well-known group S-1-1-0      Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Local account and member of Administrators group Well-known group S-1-5-114    Mandatory group, Enabled by default, Enabled group
BUILTIN\Administrators                                        Alias            S-1-5-32-544 Mandatory group, Enabled by default, Enabled group, Group owner
[...]

Puede ver los usuarios ejecutando net user.

C:\>net user

User accounts for \\WIN-SERVER-CLI

-------------------------------------------------------------------------------
Administrator            DefaultAccount           Guest
michael                  peter                    strategos
WDAGUtilityAccount
The command completed successfully.

Puede descubrir los grupos disponibles net groupsi el sistema es un controlador de dominio de Windows o net localgroupno, como se muestra en la terminal a continuación.

C:\>net localgroup

Aliases for \\WIN-SERVER-CLI

-------------------------------------------------------------------------------
*Access Control Assistance Operators
*Administrators
*Backup Operators
*Certificate Service DCOM Access
*Cryptographic Operators
*Device Owners
[...]

Puede enumerar los usuarios que pertenecen al grupo de administradores locales usando el comando net localgroup administrators.

C:\>net localgroup administrators
Alias name     administrators
Comment        Administrators have complete and unrestricted access to the computer/domain

Members

-------------------------------------------------------------------------------
Administrator
michael
peter
strategos
The command completed successfully.

Úselo net accountspara ver la configuración local en una máquina; además, puedes utilizarlo net accounts /domainsi la máquina pertenece a un dominio. Este comando ayuda a conocer la política de contraseñas, como la longitud mínima de la contraseña, la antigüedad máxima de la contraseña y la duración del bloqueo.

Redes

Puede utilizar el ipconfigcomando para conocer la configuración de red de su sistema. Si desea conocer todas las configuraciones relacionadas con la red, puede usar ipconfig /all. La salida del terminal a continuación muestra la salida cuando se usa ipconfig. Por ejemplo, podríamos haberlo utilizado ipconfig /allsi quisiéramos aprender los servidores DNS.

C:\>ipconfig

Windows IP Configuration


Ethernet adapter Ethernet0:

   Connection-specific DNS Suffix  . : localdomain
   Link-local IPv6 Address . . . . . : fe80::3dc5:78ef:1274:a740%5
   IPv4 Address. . . . . . . . . . . : 10.20.30.130
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 10.20.30.2

En MS Windows, podemos utilizarlo netstatpara obtener información diversa, como en qué puertos está escuchando el sistema, qué conexiones están activas y quién las está usando. En este ejemplo, utilizamos las opciones -apara mostrar todos los puertos de escucha y conexiones activas. Nos -bpermite encontrar el binario involucrado en la conexión, mientras que -nse utiliza para evitar resolver direcciones IP y números de puerto. Finalmente, -omuestre el ID del proceso (PID).

En el resultado parcial que se muestra a continuación, podemos ver que netstat -abnoel servidor está escuchando en los puertos TCP 22, 135, 445 y 3389. Los procesos sshd.exe, RpcSsy TermServiceestán en los puertos 22, 135y 3389, respectivamente. Además, podemos ver dos conexiones establecidas con el servidor SSH como indica el estado ESTABLISHED.

C:\>netstat -abno

Active Connections

  Proto  Local Address          Foreign Address        State           PID
  TCP    0.0.0.0:22             0.0.0.0:0              LISTENING       2016
 [sshd.exe]
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       924
  RpcSs
 [svchost.exe]
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
 Can not obtain ownership information
  TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING       416
  TermService
 [svchost.exe]
[...]
  TCP    10.20.30.130:22        10.20.30.1:39956       ESTABLISHED     2016
 [sshd.exe]
  TCP    10.20.30.130:22        10.20.30.1:39964       ESTABLISHED     2016
 [sshd.exe]
[...]

Podría pensar que puede obtener un resultado idéntico escaneando el puerto del sistema de destino; sin embargo, esto es inexacto por dos razones. Es posible que un firewall esté impidiendo que el host de escaneo llegue a puertos de red específicos. Además, el escaneo de puertos de un sistema genera una cantidad considerable de tráfico, a diferencia de netstat, que no genera ruido.

Finalmente, vale la pena mencionar que el uso arp -ale ayuda a descubrir otros sistemas en la misma LAN que se comunicaron recientemente con su sistema. ARP significa Protocolo de resolución de direcciones; arp -amuestra las entradas ARP actuales, es decir, las direcciones físicas de los sistemas en la misma LAN que se comunicaron con su sistema. A continuación se muestra un resultado de ejemplo. Esto indica que estas direcciones IP se han comunicado de alguna manera con nuestro sistema; la comunicación puede ser un intento de conexión o incluso un simple ping. Tenga en cuenta que 10.10.255.255no representa un sistema ya que es la dirección de transmisión de subred.

C:\>arp -a

Interface: 10.10.204.175 --- 0x4 
  Internet Address      Physical Address      Type
  10.10.0.1             02-c8-85-b5-5a-aa     dynamic
  10.10.16.117          02-f2-42-76-fc-ef     dynamic
  10.10.122.196         02-48-58-7b-92-e5     dynamic
  10.10.146.13          02-36-c1-4d-05-f9     dynamic
  10.10.161.4           02-a8-58-98-1a-d3     dynamic
  10.10.217.222         02-68-10-dd-be-8d     dynamic
  10.10.255.255         ff-ff-ff-ff-ff-ff     static

DNS, SMB y SNMP

Mientras cubrimos la enumeración, es una buena idea tocar DNS, SMB y SNMP.

DNS

Todos estamos familiarizados con las consultas del Sistema de nombres de dominio (DNS) donde podemos buscar registros A, AAAA, CName y TXT, entre otros. Si desea repasar sus conocimientos de DNS, le sugerimos que visite la sala DNS en detalle . Si podemos obtener una “copia” de todos los registros que un servidor DNS es responsable de responder, podríamos descubrir hosts que no sabíamos que existían.

Una forma sencilla de intentar la transferencia de zona DNS es mediante el digcomando. Si desea obtener más información sobre digcomandos similares, le sugerimos consultar la sala de Reconocimiento pasivo . Dependiendo de la configuración del servidor DNS, la transferencia de zona DNS puede estar restringida. Si no está restringido, debería poder lograrse usando dig -t AXFR DOMAIN_NAME @DNS_SERVER. El -t AXFRindica que estamos solicitando una transferencia de zona, mientras que @precede al DNS_SERVERque queremos consultar respecto de los registros relacionados con el especificado DOMAIN_NAME.

PYME

Server Message Block (SMB) es un protocolo de comunicación que proporciona acceso compartido a archivos e impresoras. Podemos comprobar las carpetas compartidas usando net share. A continuación se muestra un ejemplo del resultado. Podemos ver que C:\Internal Filesse comparte bajo el nombre Internal .

user@TryHackMe$ net share

Share name   Resource                        Remark

-------------------------------------------------------------------------------
C$           C:\                             Default share
IPC$                                         Remote IPC
ADMIN$       C:\Windows                      Remote Admin
Internal     C:\Internal Files               Internal Documents
Users        C:\Users
The command completed successfully.

SNMP

El Protocolo simple de administración de red (SNMP) fue diseñado para ayudar a recopilar información sobre diferentes dispositivos en la red. Le permite conocer varios eventos de la red, desde un servidor con un disco defectuoso hasta una impresora sin tinta. En consecuencia, SNMP puede contener una gran cantidad de información para el atacante. Una herramienta sencilla para consultar servidores relacionados con SNMP es snmpcheck. Puede encontrarlo en AttackBox en el /opt/snmpcheck/directorio; la sintaxis es bastante simple: /opt/snmpcheck/snmpcheck.rb 10.10.97.78 -c COMMUNITY_STRING.

Si desea realizar la instalación snmpchecken su máquina Linux local, considere los siguientes comandos.

git clone https://gitlab.com/kalilinux/packages/snmpcheck.git
cd snmpcheck/
gem install snmp
chmod +x snmpcheck-1.9.rb