05- Conociendo Meterpreter – Parte V – Obteniendo tokens e impersonalización

Para ver la serie completa pulsa aqui. Habrá conceptos que se den por obvios ya que están explicados en artículos anteriores.

Buenas a todos! En el post de hoy vamos a ver cómo podemos obtener los tokens de los diferentes usuarios existentes en una maquina vulnerada con el fin de poder suplantar su identidad o impersonalizar a los usuarios de dicha maquina.

Lo primero que vamos a hacer es montar el escenario de siempre con nuestra maquina virtual donde corre el Windows XP y por otro lado mi maquina con Kali donde ejecutaremos metasploit y prepararemos el exploit…

Una vez hemos lanzado el exploit y hemos obtenido la shell con meterpreter lo que haremos será cargar el modulo “incognito” mediante el comando “load incognito”. Una vez hecho esto si ejecutamos “help” para ver los posibles comandos a ejecutar vemos que nos aparece dicho modulo con sus comandos…

Ahora vamos a ver como que usuario estamos actualmente realizando las operaciones y vamos a listar los tokens que hay en la maquina vulnerada. Como vemos en la siguiente imagen nos aparecen los usuarios con los que podemos realizar la impersonalización (Nos haremos pasar por ellos)…

Como hemos visto en la anterior imagen, actualmente ejecutamos las acciones con permisos de “System”, pero vamos a crear una shell en la maquina y vamos a ver qué usuario somos…

Como observamos en la imagen el usuario es el nombre del PC, en este caso eso indica que actualmente en el sistema estamos como “System”. Como somos “System” vamos a ver como podríamos impersonalizar a un usuario de la maquina. Para ello como vemos en la siguiente imagen listamos de nuevo los tokens y utilizamos el comando “impersonate_token” junto al token que queremos impersonificar, en este caso “Administrador”. Una vez hecho esto vemos que al realizar el comando “getuid” somos dicho usuario, y en caso de volver a abrir una shell podemos ver que usuario somos, comprobamos que realmente somos el usuario “Administrado”.

Como vemos esta es una forma muy potente y sencilla de poder cambiar de usuario una vez tenemos acceso al PC sin necesidad alguna de necesitar contraseñas ni hashes ni nada. Pero además la potencia de esta técnica reside en que podríamos impersonalizar a una persona que tuviera la misma cuenta en otro equipo de la red, es decir, si un administrador controla 10 equipos en una red donde hay una serie de usuarios en cada equipo y además entre esos usuarios siempre hay uno que sea “Administrador”, con esta técnica una vez obtengamos acceso a uno de esos PC podremos tener acceso a cualquiera si impersonalizamos la cuenta del “Administrador”.

Además como vamos a ver a continuación no es necesario cambiar de proceso ni nada de por el estilo. Para comprobarlo comprobamos que somos como hemos visto antes “Administrador”, por lo que utilizamos el comando “rev2self” para volver a ser “System”. Una vez hecho esto listamos los procesos y comprobamos que somos “System” y que estamos asociados al proceso 1460…

Ahora vamos a utilizar el comando “steal_token” para obtener los permisos y como tal, el usuario desde un proceso, es decir, conseguiríamos lo mismo que antes, cambiarnos de usuario, pero únicamente obteniendo dichos permisos de un proceso.

Para ello como vemos a continuación únicamente necesitamos utilizar el comando “steal_token” seguido del pid del proceso del que queremos obtener el usuario para poder inpersonificarle…

Y hasta aquí llega el post de hoy en el que hemos visto diferentes formas de impersonificar un usuario tanto en una maquina como podríamos hacerlo en red, lo cual es tremendamente importante ya que no necesitamos saber ni siquiera una contraseña de ningún usuario.

Espero que os haya gustado!

Un saludo,

Eduardo – eduardo@highsec.es – @_Hykeos