Spoofing NBNS Responses Parte I

Share it!

Como parte de la presentación sobre seguridad en HTML + Javascript que podeis visualizar en el siguiente enlace:

Seguridad en el Entorno Corporativo Actual

Vamos a comentar la técnica de Spoofing de respuestas NBNS que se produce en un entorno de Active Directory, que también podeis ver en HD en el siguiente enlace:

HD Spoofing NBNS Responses

Los principios básicos para entender qué se provoca y qué sucede hay que tener claro qué es el NBNS.

NetBios Name Service es parte de la pila de protocolos TCP de NetBios ( algunos habrán leido acerca de servidores WINS por ejemplo en Windows 2000 Server ).

La misión del protocolo NBNS, que trabaja sobre UDP en el puerto 137, es similar a la del DNS, es decir, traducir de direcciones IP a nombres. -> Ej google.es -> 74.125.230.215.

Manteniendo un registro central, acelera el proceso de registro en la red de un nuevo nodo o computadora.

Y alguno dirá, que para eso está el DNS, correcto, pero como venimos diciendo, hay mucho tráfico que se escapa de las consultas a los DNS, y pasa a ser consultado vía NBNS.

Cuando tu máquina Windows intenta resolver un nombre a una dirección IP concreta, realiza los siguientes pasos:

– 1º C:\Windows\System32\drivers\etc\hosts

– 2º DNS

– 3º NBNS

Cualquier máquina Windows que intente localizar un recurso de red, o se añada una nueva máquina al Dominio, o cuando buscas desde Google Chrome, se produce tráfico NBNS.

 


                                                                                                                                                                                                           Anuncio de Host en la red

 

                                                                                                                                                                                                       Anuncio de Dominio en Active Directory

 

Sin ir más lejos y en el ejemplo que se usa en el vídeo, la barra de navegación que utilizamos para escribir y buscar a la misma vez, produce tráfico NBNS, ¿ Cómo ?

El navegador tiene que poder discernir entre lo que es una búsqueda de nombres o un servidor concreto como elmundo.es, si contiene espacios, será lo primero, si contiene puntos, lo segundo.

Si sabemos que se produce tráfico NBNS en una consulta en el navegador, y sabemos que es tráfico UDP Broadcast, es decir, Windows preguntará a todas las máquinas si sabe quién es esa búsqueda y si ese nombre pertenece a algún recurso que se esté compartiendo en el ámbito de Active Directory, será fácil redirigir el tráfico a nuestra conveniencia.

Para ello se emplean varios módulos de Metasploit:

 

auxiliary/spoof/nbns/nbns_response

auxiliary/server/capture/smb

auxiliary/server/capture/http_ntlm

Con esto, establecemos el envenenamiento ARP para redirigir el tráfico a nuestra máquina atacante, y establecemos varios fakeservices en la red que se encargarán de capturar los hashes LM/NTLM del usuario que está haciendo una consulta en su explorador, y cuando la haga, Bingo !

 

 

Obtendremos los hashes del usuario en cuestión, y podremos proceder a crackearlos e incluso inyectarlas en memoria mediante el proceso LSASS.exe ( Local Security Authority Subsystem Service) con varias herramientas de las que hablaremos más adelante y conseguir así una escalada de privilegios.

 

Saludos !

 

 

 

 

 

 

Share it!
Esta entrada fue publicada en Seguridad Informática. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

*

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>