¿Has conseguido credenciales en un pentest y necesitas ayuda para encontrar info sensible? Scavenger, un script que puede ayudarte
Durante un pentest interno, si tenemos suerte y/o la suficiente pericia, obtendremos acceso de nivel administrativo al dominio de Active Directory de Windows. Sin embargo, muchas veces tendremos el problema de tener demasiado acceso a demasiados sistemas con días limitados para pruebas. Necesitamos encontrar información valiosa y lo antes posible...
Scavenger es una herramienta creada por Trustwave que nos permitirá encontrar rápidamente esos archivos y carpetas "interesantes" una vez que hayamos obtenido credenciales (post-explotación). Es multi-hilo y permite escanear sistemas remotos (*nix, Windows y OSX) a través de los servicios SMB y SSH para analizar cada sistema en busca de información valiosa y luego almacenar en caché el resultado de forma ordenada en una base de datos.
La información confidencial puede tomar muchas formas dependiendo de lo que se busca, pero en el caso de un pentester, generalmente reside en contraseñas y nombres de usuario de otros sistemas o incluso de diferentes dominios de Windows. Scavenger busca y peina proactivamente este tipo de información:
- lista de los "últimos" archivos/carpetas accedidos/modificados/creados.
- archivos que contengan palabras interesantes, por ejemplo, "password" o "secret". Una vez detectados, Scavenger los descargará a local.
- archivos que contengan información de cuentas y tarjetas (PCI).
- hashes de contraseñas del archivo SAM local o de la base de datos de Active Directory (ntds.dit).
- contraseñas guardadas en algunas aplicaciones, por ejemplo, las contraseñas que se guardan en Chrome, y también otras aplicaciones como WinSCP.
Además, Scavenger tiene la capacidad de comparar y contrastar la lista almacenada en caché de archivos y carpetas previamente obtenidos con una lista recientemente escaneada y adquirida después de un período de tiempo no determinado (horas o días). Por ejemplo, si obtuvimos acceso de nivel de administrador de dominio el día inicial de la prueba de instrusión, el pentester puede esperar varios días y usar Scavenger para volver a escanear y comparar la lista "nueva" anterior de archivos encontrados con la última lista de archivos.
Esto le da al analista la capacidad de determinar rápidamente qué ha cambiado en ese período de tiempo, por ejemplo, si se han creado nuevos archivos y/o si se ha accedido o modificado los archivos antiguos de alguna manera. Por ejemplo, si vemos que el administrador accede con frecuencia a ciertas contraseñas o archivos, es seguro que lo que hay en esos archivos tiene un valor importante.
Requisitos
Instalar CrackMapExec - CrackMapExec Installation Page
Repo
git clone https://github.com/SpiderLabs/scavenger.git
Ejemplos
$ python3 ./scavenger.py smb -t 10.0.0.10 -u administrator -p Password123 -d test.local
$ python3 ./scavenger.py smb --target iplist --username administrator --password Password123 --domain test.local --overwrite
Fuente:
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/scavenger-post-exploitation-tool-for-collecting-vital-data/
Scavenger es una herramienta creada por Trustwave que nos permitirá encontrar rápidamente esos archivos y carpetas "interesantes" una vez que hayamos obtenido credenciales (post-explotación). Es multi-hilo y permite escanear sistemas remotos (*nix, Windows y OSX) a través de los servicios SMB y SSH para analizar cada sistema en busca de información valiosa y luego almacenar en caché el resultado de forma ordenada en una base de datos.
La información confidencial puede tomar muchas formas dependiendo de lo que se busca, pero en el caso de un pentester, generalmente reside en contraseñas y nombres de usuario de otros sistemas o incluso de diferentes dominios de Windows. Scavenger busca y peina proactivamente este tipo de información:
- lista de los "últimos" archivos/carpetas accedidos/modificados/creados.
- archivos que contengan palabras interesantes, por ejemplo, "password" o "secret". Una vez detectados, Scavenger los descargará a local.
- archivos que contengan información de cuentas y tarjetas (PCI).
- hashes de contraseñas del archivo SAM local o de la base de datos de Active Directory (ntds.dit).
- contraseñas guardadas en algunas aplicaciones, por ejemplo, las contraseñas que se guardan en Chrome, y también otras aplicaciones como WinSCP.
Además, Scavenger tiene la capacidad de comparar y contrastar la lista almacenada en caché de archivos y carpetas previamente obtenidos con una lista recientemente escaneada y adquirida después de un período de tiempo no determinado (horas o días). Por ejemplo, si obtuvimos acceso de nivel de administrador de dominio el día inicial de la prueba de instrusión, el pentester puede esperar varios días y usar Scavenger para volver a escanear y comparar la lista "nueva" anterior de archivos encontrados con la última lista de archivos.
Esto le da al analista la capacidad de determinar rápidamente qué ha cambiado en ese período de tiempo, por ejemplo, si se han creado nuevos archivos y/o si se ha accedido o modificado los archivos antiguos de alguna manera. Por ejemplo, si vemos que el administrador accede con frecuencia a ciertas contraseñas o archivos, es seguro que lo que hay en esos archivos tiene un valor importante.
Requisitos
Instalar CrackMapExec - CrackMapExec Installation Page
Repo
git clone https://github.com/SpiderLabs/scavenger.git
Ejemplos
$ python3 ./scavenger.py smb -t 10.0.0.10 -u administrator -p Password123 -d test.local
$ python3 ./scavenger.py smb --target iplist --username administrator --password Password123 --domain test.local --overwrite
Fuente:
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/scavenger-post-exploitation-tool-for-collecting-vital-data/
Ya es de por sí increíble el funcionamiento de esta herramienta, más que se pueda comparar lo almacenado en la BD temporalmente. Aparte de obtener la información sobre lo almacenado en el sistema, como bien dices, podemos hacernos una idea de las rutinas del administrador.
ResponderEliminarSaludos.