TIPS VERANIEGOS (o cómo yo también tengo un cuñado)

 ¡Muy buenas amigos míos! Ya lo siento, pero hoy me toca a mi dar un poco la lata, de modo que como hace muuuucho calor, vamos a ir a uno de mis ya clásicos “Tips Veraniegos” (imaginaos la música de Verano Azul de fondo…), bueno no, mejor no… 😉

Podríamos hablar de la implementación de la LOPD con miras al Reglamento Europeo de Proteción de Datos (RGPD) pero como que paso bastante.

Así que una cosa ligerita, cómoda para leer mientras tomas una cañita y poco más. ¿Y qué os puedo contar? A ver, os contaré la última que me pasó ayer… Continuar leyendo “TIPS VERANIEGOS (o cómo yo también tengo un cuñado)”

Hack Windows Login

¡Muy buenas amigos! Otra vez estoy por aquí para martirizaros con uno de mis tips rápidos, en este caso para sistemas Windows.

Vamos a cambiar la contraseña de un usuario de un pc con Windows 10 sin conocer la anterior y sin herramientas de hackers superpros, ni herramientas malignas diseñadas por algún ente estatal empeñado en dominar el mundo libre. ¿Es eso posible? Pues si amigo mío, lo es y además, es mucho más fácil de lo que te parece. Lo vas a ver en breve. Recuerda, nadie es un gurú, esto es tan simple como estudiar, prepararte y volver a estudiar hasta conocer como tu propia mano, el entorno de trabajo, ese es el único secreto, estudio y afán de superación..

Un par de cosas más, la primera es que este truco se puede usar desde fines forenses, a fines de hacking ético o también puede ser realizado simplemente por un sufrido y nunca suficientemente reconocido sysadmin porque un usuario la ha liado tocando lo que no debe, o como me tocó a mi no hace mucho un exempleado que no le hizo muchas gracia su despido y bloqueó el pc de los proyectos con un password a mala leche…

Sea por el motivo que sea (y esto nos lleva a la segunda cosilla) yo os voy a enseñar un truco con intención didáctica, constructiva y para ayudar a la gente en sus quehaceres diarios previniendo usos indebidos e ilícitos, cualquier otra intención o uso, escapa a las intenciones de este vuestro humilde servidor y será asumido por quien las realice. Os recomiendo asimismo que, al menos al inicio, lo practiquéis en entornos controlados, virtualizados y nunca en equipos en producción hasta que se controle completamente su realización.

Dicho todo esto, pongámonos manos a la obra.

PLANTEAMIENTO:

Debemos cambiar la contraseña de un usuario de un equipo con Windows instalado cuyo usuario ha olvidado la contraseña, o la ha cambiado queriendo o estáis realizando un test de penetración y en su desarrollo podéis tener acceso a un equipo o varios, sin conocer eso si, su contraseña.

¿Cómo se realiza? Muy sencillo con un USB o un DVD de instalación de Windows. Así de simple.

Estos son los pasos del Kung-fu:

1.- Podrás apreciar que a la hora de loguearte en la cuenta de un pc con Windows, tienes la opción de lanzar un teclado en pantalla.

2.- Vamos a decirle al ordenador que cuando le des a la opción de teclado en pantalla, en realidad te lance un cmd con funciones de admin. Desde ahí listaremos los usuarios y podremos modificar su contraseña sin conocer la anterior y una vez cambiada, podremos loguearnos tranquilamente. Y ya está, no hay más. ¿No me creéis? Seguid leyendo…

Intentamos entrar con password al azar y, obviamente no nos va a dejar…

Lo vamos a reiniciar y antes de que arranque, le vamos a indicar que arranque desde el USB o el DVD…

Una vez arrancado, ya sabéis es Windows, siguiente -> siguiente…..

En la segunda página, le damos a reparar…

Solucionar problemas

Seleccionamos símbolo del sistema

Y ya tenemos un cmd

Desde aquí nos movemos a /Windows/System32 y procedemos a renombrar un par de archivos. En concreto al ejecutable osk.exe (teclado en pantalla) lo renombraremos con osk.old (así lo hago yo por hábito, si tu lo quieres llamar pepito_grillo.old,  sin problemas, el tema esta en luego recordar el nombre que se lo puso, para poderlo deshacer una vez logueado) . Una vez realizado este cambio, cambiaremos el nombre a cmd.exe por osk.exe con el comando rename.

.

Ya podemos cerrar el cmd y reiniciar el equipo.

Ya vamos viendo por donde va esto ¿verdad?

¡Exacto! Al arrancar de nuevo y seleccionar teclado en pantalla, nos lanzará un bonito y apañado cmd. Veámoslo, ¿os parece?

Seleccionamos teclado y…

¡Tenemos un cmd! Ahora listaremos los usuarios-víctimas-objetivo y a aquel que nos interese, le cambiaremos la contraseña.

¡Espera! ¿Tan sencillo es?

Pues si, no tiene mÁs misterio… Mira con tus propios ojos.

Listado de usuarios…

Elegimos el usuario y le cambiamos la contraseña, así de simple, no hay mas…

¿No me crees? Veamos si me acepta la nueva contraseña.

Pues si, la ha aceptado y ya se está cargando la cuenta de ese usuario. Mientras tanto, aprovecho para recordar la necesidad de proteger todos los posibles vectores de entrada, BIOS, USB, lector de DVD… etc. Se ha podido realizar este pequeño “hack” (por llamarlo de alguna manera) es porque la BIOS estaba desprotegida, por ejemplo y se pudo manipular el orden de arranque por ejemplo, lo mismo con los USB y el lector de DVD.

Ahí está, el flamante escritorio de Windows 10.

Espero que esto os sirva, os ayude a securizar vuestros entornos de trabajo y el mundo será un lugar mejor (a pesar de Windows). Deseo que os guste el vídeo y no haber aburrido demasiado. Un saludo…

ENLACE AL VÍDEO EN NUESTRO CANAL DE YOUTUBE

Video:

¡Ups! Se me olvidaba decir dos cosas más:

1.- Recordad volver a poner el nombre de antes a los ejecutables que antes habéis cambiado.

2.- Ningún PC sufrió daño alguno durante el proceso de escritura y grabación de vídeo.

Análisis Forense en Windows. Montado, navegación y búsqueda a través de una imagen clonada

¡Muy buenos días a todos! Poco a poco estamos comenzando a tener una serie de conocimientos sobre análisis forense de entornos Windows. Esto nos va a permitir empezar a movernos con cierta soltura por estas movedizas y no suficientemente conocidas tierras del análisis forense. En este post voy a explicar de un modo muy sencillo como:

  1. Montar una imagen forense en el punto que deseemos de nuestro equipo de trabajo.
  2. Una vez montado, nos va a permitir movernos por todo/as las capetas y directorios de nuestra imagen forense, tan fácilmente como si lo hiciéramos por nuestro sistema de ficheros propio.
  3. Podremos movernos como deseemos, tanto por linea de comandos, como a través de nuestro explorador (si gustamos de apreciar la interfaz gráfica) .
  4. ¿Para que hacerlo? Bueno, podemos buscar ciertos registros o datos de un modo muy visual,  esto luego nos puede ayudar para explicar los pasos realizados a personas menos preparadas de una manera mas sencilla de asimilar.

Quisiera dejar claro un par de aclaraciones antes de continuar:

  1. Hay herramientas “automágicas” que hacen esto de manera automática y totalmente transparente para el usuario, funcionan muy bien y son totalmente recomendables y absolutamente fiables (este punto debe quedar claro). Por poner un ejemplo y para su uso en entornos Windows me viene a la cabeza la herramienta FTK Imager Lite.
  2. ¿Por qué hacerlo de esta manera? Muy sencillo, porque una vez que se explica no es tan complicado (lo vas a poder ver en breve) y porque la herramientas “automágicas” están muy bien, pero se puede llegar a perder de vista lo que ocurre por debajo si se usan de continuo. Al realizarlo como se va a explicar, somos conscientes en todo momento de lo que está pasando, sabemos donde estamos, que hacemos y porque lo hacemos. Una vez se llega a este punto con total normalidad, podremos empezar a trabajar con la tranquilidad que da el conocer el terreno que estamos pisando y esto, amigos lectores, no hará mejores y mas fiables profesionales.
  3. Cualquier herramienta que se utilice, en cualquier entorno que se utilice, puede llegar a ser perfectamente válida, tan solo debemos pensar antes de utilizarla que queremos, si esta herramienta nos lo puede dar y si entendemos lo que esta haciendo. Si la respuesta a estas tres presuntas es si, adelante. Nosotros somos personal técnico, los programas y sistemas que utilicemos para trabajar son eso, herramientas de trabajo,nada mas. En mi caso me desenvuelvo muy bien  en entornos Unix, me gusta mucho Unix, pero si tengo que trabajar en entornos Windows, no me supone mayor problema.

En el siguiente ejemplo, vamos a montar nuestra ya familiar imagen de Windows 7 pro de 64 Bits y a continuación navegaremos por su interior, tanto por consola como por interfaz gráfica (usando nuestro explorador de archivos).

Como máquina de trabajo, usaremos una distro Ubuntu (versión 16.04) a la que tan solo le hemos instalado unos iconos mas a mi gusto, un tema mas claro y nuestra ya conocida suite sleuthkit.

version

Comenzamos…

Abrimos una terminal y nos movemos al directorio Escritorio (podría ser perfectamente cualquier otro, /tmp por ejemplo, en este caso, por ser mas visual se creará en el Escritorio).

Creación Punto de montaje
Creación Punto de montaje

Este será nuestro punto de montaje de la imagen.

El segundo paso es tan sencillo como localizar el offset de inicio de Windows, para ello usamos la herramienta mmls

mmlsUna vez localizado el offset de Windows en el disco duro, se debe calcular el sector donde se inicia la partición por la cantidad de bytes asignada a cada sector (que en este caso son 512), por tanto…

calc

Una vez calculada la cifra, usaremos el comando mount

Con el comando mount realizaremos el montado de la imagen en la carpeta creada anteriormente en el Escritorio como punto de montaje (monta).

mount

sudo mount -o loop,offset=2151677952,ro,noexec,show_sys_files,streams_interface=windows ‘/media/itzala/WD/FORENSE/windows7.001’ /home/itzala/Desktop/monta/

Ahora se pasa a desglosar cada una de las opciones selecionadas de este comando:

Con la  opción -o utilizan  las siguientes opciones separadas por comas unas de  otras:

  1. Opción ro para realizar el montado en modo de solo lectura,no se podrá efectuar ningún cambio sobre la imagen (fundamental para un análisis forense)
  2. Con la opción noexec no se  permite la ejecución de binarios ejecutables en el sistema de archivos montado
  3. Opción loop para realizar el montado sobre el dispositivo
  4. Con la opción show_sys_files se muestran los archivos meta del volumen (ntfs en este caso)
  5. Se usa streams_interface=windows para utilizar flujos de datos alternos (ADS)
  6. Con offset=2151677952 le indicamos el inicio de la partición que nos interesa (en el caso de tratarse de  una unidad física) para realizar el montado a partir del byte ahí indicado.
  7. Indicamos el path de ma imagen a montar (en este caso /media/itzala/WD/FORENSE/windows7.001)
  8. Por último le indicamos el punto de montaje (/home/itzala/Desktop/monta)
  9. ¡Y ya está montado en donde le indicamos! ¿No ha sido tan difícil verdad?

interior-monta

Ya lo tenemos montado y lo podemos ver tanto desde nuestro explorador de archivos como en el caso de la imagen anterior (podemos incluso ver la copia de la $MFT que hablábamos en posts anteriores)…

terminal1

Nos colocamos con el terminal en en punto donde hemos montado la imagen y nos podemos mover sin ningún problema por todo el sistema de ficheros vía terminal…

interior_

Como se aprecia en las dos imágenes anteriores nos podemos mover sin modificar nada de la evidencia tanto por interfaz gráfica como vía terminal.

Resumiendo, de un modo muy sencillo hemos montado y accedido con total seguridad a una imagen forense y nos hemos movido con total libertad por su estructura de ficheros.  No es nada difícil y una vez se controla esto, podemos usar cualquier herramienta ya que, al conocer lo que va por debajo, no tenemos ninguna limitación. Podremos automatizar procesos con scripts con una velocidad pasmosa y llegar hasta donde nosotros deseemos.

Recuerda amigo lector, en nuestro mundo el límite es nuestra imaginación y nuestra capacidad de renovación.

¡Hasta la próxima!

 

P.D: Para que se vea que en este mundo hay opciones para todo y para mostrar las posibilidades de Linux, aquí esta una imagen de FTK Imager Lite corriendo en Ubuntu gracias a la magia de Wine.

Desktop

¿Como compartir una carpeta desde línea de comandos?

jeje bueno esto a algunos les parecerá incómodo pero para la gente que tiene o estandarizar instalaciones a lo mejor le es útil tener un bat con las carpetas típicas o simplemente quiere hacerlo por cojones desde la línea de comandos (PORQUE NO? yo lo hago 🙂 ) BUENO AQUI VIENE NUESTRO AMIGO NET SHARE.

bueno para empezar probaremos de crear una carpeta que se llame PRUEBA (que original e? )

c:\>md prueba

y a continuación seguiremos con el gran NET SHARE.

c:\>net share prueba=c:\prueba /GRANT:usuario,FULL

AU ya tenemos la carpeta prueba compartida para el usuario “usuario” con acceso total, hay 2 opciones más que son READ, CHANGE imagino que no hace falta que lo traduzca no?

net share prueba /UNLIMITED

con este comando le decimos que pueden acceder infinitos usuarios, falso pero bueno nos lo creemos. YA TENEMOS LA UNIDAD COMPARTIDA PERO ADEMÁS LE VAMOS A PONER UN COMENTARIO AL RECURSO COMPARTIDO.

NET SHARE prueba /REMARK:"JATEMATE"

Si escribimos ahora solo net share nos aparecerán todos los recursos compartidos del equipo, y podemos comprobar que está todo ok.

Bueno hasta aquí hemos llegado hoy, hay mucho trabajo que hacer y poco tiempo para hacerlo todo al final me tendré que comprar una agenda para organizarme un poquito mejor 😀