Blue 🔵
Última actualización
¿Te fue útil?
Última actualización
¿Te fue útil?
En el siguiente análisis, abordaremos la resolución de la máquina “Blue” en TryHackMe. Esta máquina Windows nos proporcionará una valiosa experiencia para comprender y explotar la vulnerabilidad conocida como Eternal Blue. Para llevar a cabo este proceso, comenzaremos con un escaneo utilizando la herramienta Nmap para identificar posibles puntos de entrada. Posteriormente, utilizaremos Metasploit para confirmar la presencia de la vulnerabilidad en el sistema cliente.
Una vez confirmada la vulnerabilidad, nos centraremos en el proceso de dumping de los hashes NTLM para, posteriormente, realizar un ataque de fuerza bruta. Este procedimiento nos permitirá obtener acceso a las credenciales necesarias para avanzar en la explotación de la máquina.
En resumen, este write-up detallará paso a paso el enfoque utilizado para identificar, confirmar y explotar la vulnerabilidad EternalBlue en la máquina Windows “Blue” de TryHackMe, incluyendo la extracción y el uso de los hashes NTLM para avanzar con éxito en la seguridad del sistema.
primero hacemos un escaneo con nmap para así poder obtener información de los puertos abiertos .
ahora que tenemos el numero de puertos abiertos lo que haremos es ejecutar los script de nmap para validar cuales de estos contienen alguna vulnerabilidad o algún servicio corriendo
y como podemos ver nmap nos devuelve que el host es vulnerable a Eternal Blue que se identifica con el cve CVE:CVE-2017-0143 , así que iniciamos Metasploitpara poder verificar esta vulnerabilidad y explotarla.
con esto buscamos la palabra eternalbue para ver los módulos que se encuentran en metasploit sobre esta vulnerabilidad
entonces para verificar que dentro de la maquina victima si se encuentra la vulnerabilidad de eternal blue utilizamos el siguiente modulo
donde configuramos el scanner para que tome como host la ip de la victima
y ponemos a correr el escáner
para la explotacion utilizamos el modulo de ms17_010_eternalblue de metasploit ,donde cambiaremos el rhosts por la ip de la victima y cambiamos el lhost por nuestra ip
y para hacer la escala de privilegios como pide tryhackme cambiamos el payload por el siguiente
ahora ejecutamos el exploit y podemos ver que obtenemos una shell con la maquina victima
entonces ya obtendremos acceso al sistema
ahora que ya tenemos acceso al sistema podemos hacer diferentes cosas ,como obtener los hash de todos los usuarios del sistema con el siguiente comando
lo que haremos es tomar la línea de jon que es la siguiente
y ustedes se preguntan, que es esta cadena? , esta cadena es aquella cadena guardada por windows en el protocolo NTLM que se divide de la siguiente manera
Jon: Este es el nombre de usuario asociado con la entrada. En este caso, el nombre de usuario es “Jon”.
1000: Este número es el identificador de usuario (UID). En sistemas Unix y Linux, este número se utiliza para identificar de manera única a un usuario.
aad3b435b51404eeaad3b435b51404ee: este es el LM hash (Lan Manager hash) es un antiguo algoritmo de hash utilizado para almacenar las contraseñas en sistemas Windows, especialmente en versiones más antiguas del sistema operativo. Fue desarrollado por Microsoft y se utilizó principalmente en los sistemas Windows hasta Windows XP y Windows Server 2003. Sin embargo, debido a sus debilidades de seguridad, el uso de LM hash se ha desaconsejado en versiones más recientes de Windows.
ffb43f0de35be4d9917ac0cc8ad57f8d: Este es el hash NTLM de la contraseña. NTLM es un protocolo de autenticación ampliamente utilizado en entornos de Windows. El hash es una representación encriptada de la contraseña.
ahora tomamos el NTLM hash para poder hacer fuerza bruta con la herramienta john y poder tener en texto plano su contraseña
