martes, 31 de marzo de 2015

Windows "la técnica del setch": Comprometiendo autenticación en sistemas Windows/xp/vista/8/8.1






Muchas veces como IT nos vemos en la necesidad de saltarnos las credenciales o el proceso de autenticación en sistemas Windows, para los que hay varios métodos con los cuales podemos saltarnos la autenticación como usar el Kon-boot que hemos visto anteriormente.

El proceso que vamos a realizar a continuación es un proceso que afecta a sistemas Windows/xp/vista/7/8/8.1 y que consiste en editar el fichero sethc.exe y sustituirlo por el fichero cmd.exe. Una vez reiniciemos el sistema, nos encontramos en la pantalla de autenticación, pulsamos 5 veces la tecla shift y ya tendremos nuestra ventana de comandos con privilegios para manejar a nuestro antojo.

Este fichero lo podremos editar con cualquier Live-CD Linux o con el mismo CD de instalación Windows. El ejemplo lo realizaré tanto con el Live-CD Linux (Kali Linux) como el CD de instalación de Windows.


Mediante Live-CD Linux (Kali Linux):

Iniciamos el Live-CD Kali Linux y una vez dentro abrimos un terminal en el que identificaremos el disco ntfs de windows mediante el comando "fdisk -l | grep NTFS". A continuación crearemos la carpeta donde montaremos el disco "mkdir /media/windows" y finalmente lo montaremos en la carpeta creada "mount -t ntfs-3g /dev/sda2 /media/windows"




Ahora en esta siguiente imagen editaremos el ejecutable. Para ello nos dirigimos a la ruta donde se encuentra"cd /media/windows/Windows/System32/" . Cambiamos el nombre del fichero "mv setch.exe sethccp.exe"  y finalmente copiamos el cmd.exe y le ponemos un nuevo nombre "cp cmd.exe sethc.exe"

Y para acabar desmontamos "umount /dev/sda2" y reinciamos "reboot".






Ahora una vez reiniciado el sistema y llegamos a la parte de la autenticación, aquí pulsaremos la tecla shift 5 veces para que se ejecute el programa sethc.exe. Una vez pulsado ya tenemos una ventana de comandos en la cual llamaremos mediante el comando "control userpasswords2" > seleccionaremos el usuario > restearemos la contraseña y finalmente la cambiaremos o dejaremos en blanco y le daremos a aceptar para aplicar los cambios.




Y ya tendremos acceso al sistema.




Mediante el CD de Instalación de Windows:


Iniciamos el CD de instalación de windows y le damos a "Next" o "Siguiente"





Ahora seguimos y le damos a "Repair your computer" o "Reparar el ordenador".





Ahora hacemos clic en "Troubleshooting" o "Solución de problemas".





Ahora "Advanced options" o "Opciones avanzadas".




Ahora a "Command Prompt" o "Símbolo del sistema".



Ahora nos dirigiremos a la ruta donde vamos a editar el ejecutable. Primero "d:" > "Windows" > "System32" > "ren sethc.exe sethccp.exe" > "copy cmd.exe sethc.exe"  > "Exit".





Y finalmente apagamos el sistema haciendo clic en "Turn off your PC".





Ahora iniciamos el sistema y llegamos a la parte de la autenticación, aquí pulsaremos la tecla shift 5 veces para que se ejecute el programa sethc.exe. Una vez pulsado ya tenemos una ventana de comandos con la cual llamaremos mediante el comando "control userpasswords2" > seleccionaremos el usuario > restearemos la contraseña y finalmente la cambiaremos o dejaremos en blanco y le daremos a aceptar para aplicar los cambios.




Y ya tendremos acceso al sistema.



jueves, 26 de marzo de 2015

Solución de problemas - Internet / Acceso a la Red en Linux: Comprobar&Buscar problemas de red en una sola línea de comandos.




En estas entradas que veremos de aquí en adelante nos permitirán poner en marcha o arreglar y detectar los problemas de red de nuestro servidor basado en Linux.

En esta primera entrada vamos a ver como ejecutando una sola línea de comandos comprobaremos y encontraremos el estado de la red. Esto nos facilitará encontrar el problema ya que estos comandos nos permiten encontrar dónde y cuando falla nuestra conexión o configuración de red/internet. Veremos la configuración de red, puerta de enlace, DNS, estado de la conexión (ping), comprobar los saltos (traceroute), ip pública, comprobar proxy.

ifconfig -a; route -n; cat /etc/resolv.conf; cat /etc/network/interfaces; ping google.com -c 4; traceroute google.com; curl ifconfig.me; echo $http_proxy










viernes, 20 de marzo de 2015

Cambiando la dirección MAC en Linux/Windows











Algunas son las veces que por diversos motivos tenemos que cambiar la MAC de nuestro adaptador de red. Esto se puede deber a muchos motivos pero la mayoría de veces se debe filtrados por MAC para poder acceder. 






En esta entrada veremos los métodos para cambiar la dirección MAC en nuestro sistema, tanto Linux como Windows.

¿Como cambiamos la MAC en sistemas Linux? 

Vamos a usar dos opciones, la primera por comandos jugando con las interfaces y la segunda mediante macchanger.

Lo primero listaremos las interfaces de red.





Una vez vista utilizaremos la que nos interesa en nuestro caso de eth1, la daremos de baja, le cambiaremos la mac y finalmente la levantamos.

ifconfig interfazdered down
ifconfig interfazdered hw ether mac:del:dispositivo:de:red:suplantado
ifconfig interfazdered up





Una vez realizamos el cambio comprobamos que se ha cambiado ejecutando "ifconfig interfazdered"




Ahora usaremos el segundo método que será usando macchanger el cual podemos descargar desde los repositorios. Como vimos antes identificamos la tarjeta de red "ifconfig eth1" y cambiamos mediante una MAC aleatoria usando "macchanger -r eth1" y comprobamos el cambio.




Como hemos visto la dirección MAC ha cambiado a una dirección MAC aleatoria lo que nos facilita el tener que elegir la MAC,  tener que escribir las tres líneas ( aunque podríamos generar un script para automatizarlo), pero con macchanger podemos hacer más cosas como cambiar la MAC por la que queramos y demás como se muestra en la siguiente imagen.






¿Como cambiamos la MAC en sistemas Windows?

Bueno a la hora de tener que cambiar la dirección MAC en sistemas Windows tenemos 3 opciones: tocar el registro, tocar las opciones de la tarjeta de red o finalmente usar un programa que nos facilite la tarea.

La primera que utilizaremos será cambiarla mediante el administrador de dispositivos, en el cual seguiremos los siguientes pasos que luego se marcan en la fotografía.

· 1 Desplegamos el menú (Windows+x) y hacemos clic en "Administrador de dispositivos".

· 2 Desplegamos los adaptadores de red, buscamos el que nos interesa y hacemos clic en propiedades.

· 3 Nos vamos a la pestaña "Opciones avanzadas".

· 4 Señalamos Dirección de red.

· 5 Introducimos la nueva dirección MAC en el cuadro "Valor" (este número se tiene que introducir sin puntos ni nada solo y exclusivamente los números y letras).

· 6 Finalmente hacemos clic en "Aceptar".





Una vez hecho todo esto deshabilitamos y habilitamos la tarjeta de red para que se realicen los cambios o simplemente reiniciamos.

El segundo y último método será usar un programa, el programa en concreto es Technitium que lo podémos descargar de su web. El cual nos permitirá cambiar la MAC por una aleatoria. 

Lo primero lo instalamos, una vez instalamos seguiremos los pasos.

· 1 Abrimos una ventana de powershell y ejecutamos  "getmac /v /fo list" (para ver la tarjeta de red y su MAC).

· 2 Ejecutamos y abrimos el programa.

· 3 Comprobamos que esta señalada el dispositivo de red que nos interesa.

· 4 Usaremos "Random MAC address" (podemos también introducir una propia)

· 5 Finalmente hacemos clic en "Change Now!" 

· 6 Por último ejecutamos en powershell "getmac /v /fo list"




Y ya esta cambiada nuestra MAC de nuestro adaptador de red.







miércoles, 18 de marzo de 2015

NirLauncher: las herramientas de NirSoft reunidas en una sola.










Anteriormente os hemos hablado de ProduKey que no es más que un producto de NirSoft, en esta web además de ProduKey encontraremos muchas más herramientas que nos serán muy útiles para desempeñar nuestro trabajo como IT. 

Hoy simplemente voy a enseñaros el paquete completo donde se incluyen todas las herramientas clasificadas y unidas en una sola. Este paquete se llama NirLauncher y lo podemos descargar aquí. Una vez descargado solo bastará con ejecutarlo y ya tendremos acceso a las múltiples herramientas de esta magnífica página. 






Una vez aquí nos podemos mover por las múltiples herramientas a las que tendremos acceso y que poco a poco veremos mas adelante más exhaustivamente.





lunes, 16 de marzo de 2015

Instalación y configuración de bind9 en linux ( 2 de 2)









En esta  publicación vamos a ver como se configura nuestro servicio de DNS BIND9 en nuestro servidor basado en Debian, en nuestro caso linuxmint. 

¿Configurar que?


Lo primero que haremos será parar el servicio mientras configuramos, esto lo haremos con 'sudo service bind9 stop' o 'sudo /etc/init.d/bind9 stop'.





Una vez parado el servicio tendremos que activar la generación y registro de los logs del servidor bind 9, para ello nos dirigimos al fichero 'named.conf' que se encuentra en '/etc/bind/named.conf', aquí añadiremos el siguiente código al final del texto.


logging {
        channel logdnsbind.log{
                file "/var/log/logdnsbind.log";
                severity deb
dug 10;
                print-category yes;
                print-time yes;
                print-severity yes;
                };
category queries { logdnsbind.log;}; };



Una vez realizado esto nos tendremos que crear el fichero del log para que pueda registrar en el los eventos. El fichero como el código de arriba indica se llama 'logdnsbind.log'. Tenemos que tener en cuenta a la hora de crearlo que tendremos que añadirle el grupo al que pertenece 'chgrp' y el propietario o owner del fichero 'chown'. Creamos el fichero con la orden 'sudo touch logdnsbind.log' ( con esto crearemos un archivo en blanco ). 

Después de esto editamos el grupo del archivo con el siguiente comando:

sudo chgrp bind logdnsbind.log

Cambiamos el propietario del archivo:
 
sudo chown bind logdnsbind.log

Ahora como podemos ver con la siguiente línea de comandos se nos muestra el propietario del fichero y grupo al que pertenece que como dijimos arriba es bind.



Una vez finalizado reiniciamos el servicio mediante 'sudo service bind9 restart' o 'sudo /etc/init.d/bind9 restart'.

testeando@testeando-VirtualBox / $ sudo service bind9 restart
 * Stopping domain name service... bind9                                                                     [ OK ]
 * Starting domain name service... bind9                                                                     [ OK ] 


 (*) Nota: si da algún fallo no duden en preguntar y si no encuentran solución siempre pueden saltar el punto de los logs.

Como configuración de red además de la dirección ip fija, máscara de subred y puerta de enlace normales, tendremos que cambiar las dns a '127.0.0.1' o la ip fija que hemos usado. Esto lo podemos hacer de manera gráfica o editando el fichero 'resolv.conf' que como explicamos en otro un este articulo se encuentra en '/etc/resolv.conf' y que idiremos allí las dns dejando escrito las mismas, en nuestro caso la nuestra, 'nameserver 127.0.0.1' .

¿Que son estos fichero que hay en '/etc/bind/'?

Antes de ponernos a copiar como locos vamos a interesarnos un poco por ver estos ficheros que son y para que sirven.

/etc/bind/named.conf  -----------------------------  Fichero de configuración principal.
/etc/bind/named.conf.options  ----------------  Opciones generales del servidor.
/etc/bind/name.conf.local -----------------------  Fichero de configuración de zonas.
/etc/bind/named.conf.default-zones -------  Declaración de zonas por defecto.
/etc/bind/db.root  -----------------------------------  Servidores raíz.
/etc/db.local -------------------------------------------  Resolución directa del búcle local.
/etc/bind/db.127 -------------------------------------  Resolución inversa del búcle local.
/etc/bind/db.0 -----------------------------------------  Resolución inversa red.
/etc/bind/ db.255 ------------------------------------  Resolución inversa broadcast.

 Bien, visto el significado de los ficheros vamos a comenzar haciendo una copia del fichero original '/etc/bind/named.conf.local' esto lo haremos con la siguiente orden:



sudo cp /etc/bind/named.conf.local{,.original}


Después vamos a editar el fichero original, con los datos que hemos elegido para nuestro caso.


 - Dominio: itpuntoes.com
 - Dirección ip: 192.168.1.31


Con estos datos comenzamos editando el fichero con la orden 'sudo nano /etc/bind/named.conf.local', una vez en el introduciremos los siguientes datos:


zone "itpuntoes.com" {
    type master;
    file "db.itpuntoes";
};
zone "1.168.192.in-addr.arpa" {
  type master;
  file "db.itpuntoesinv";
};



Guardamos los datos introducidos en el fichero. Ahora establecido nuestro nuevo dominio dns tendremos que decidir que servidor dns va a resolver lo que nuestro servidor dns no pueda resolver, esto lo hacemos editando el fichero '/etc/bind/named.conf.options' aquí ya os dejo vuestra opción yo he elegido las de google, pero pueden usar por ejemplo las de vuestro ISP o opendns por ejemplo.



Una vez dentro del fichero como vemos  en la imagen descomentaremos unas líneas y editaremos para añadir nuestro servidor dns alternativo(google en nuestro caso '8.8.8.8').


Una vez guardado vamos a crear el fichero '/etc/bind/db.itpuntoes' con la orden 'sudo /etc/bind/db.itpuntoes' y en el introduciremos el siguiente código.


$TTL    604800
@   IN  SOA itpuntoes.com. root.itpuntoes.com. (
                  1     ; Serial
             604800     ; Refresh
              86400     ; Retry
            2419200     ; Expire
             604800 )   ; Negative Cache TTL
;
@       IN      NS      ns.itpuntoes.com.
ns      IN      A       192.168.1.31
box     IN      A       192.168.1.31 
 
 
Después de esto vamos con la zona inversa copiamos el archivo 'db.127' con
la orden 'sudo cp /etc/bind9/db.127 /etc/bind/db.itpuntoesinv' después de esto 
editamos el fichero 'sudo nano /etc/bind/db.itpuntoesinv' y lo dejamos como 
muestra el siguiente código.
 
 
$TTL    604800
@       IN      SOA     localhost. root.localhost. (
                              1         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      ns.
31      IN      PTR     ns.itpuntoes.com.
 
 
Después de esto reiniciamos el servicio 'sudo service bind9 restart' y una vez 
reiniciado ya lo tenemos listo. ¡No olvidéis seguirnos en próximas publicaciones!. 


Instalación y configuración de bind9 en linux ( 1 de 2)