Hasta la fecha, en una auditoria de una infraestructura Windows uno de los pilares básicos es conseguir acceso a una estación de trabajo del dominio.
Con el acceso a nuestra primera estación de trabajo, o con las credenciales del usuario que inicia sesión en esa estación, podríamos establecer conexiones SMB contra diferentes recursos de la red e ir recopilando información, como por ejemplo identificadores de usuarios, scripts de inicio de sesión del controlador de dominio, y acceso a recursos compartidos de la red.
Hasta hace relativamente poco tiempo, las laxas políticas de seguridad permitían recopilar esta información a partir de conexiones SMB anónimas. Este comportamiento sin embargo ya no es permitido por defecto en plataformas Windows XP SP3 o Windows 2003.
Por ello, el peso del éxito de un test de intrusión puede recaer, en muchos casos, en la posibilidad de poder conseguir ese usuario y contraseña incial de la red.
La técnica que mejor responde en estas situaciones es el uso del ataque de replay attack de NTLM junto con un par de trucos adicionales.
Para localizar nuestro objetivo inicial procederemos a escanear la red en busca de recursos compartidos de red accesibles de forma anónima. Si localizamos alguno, como por ejemplo la carpeta "Documentos compartidos" de Windows XP , podremos escribir en ese recurso un fichero desktop.ini que fuerce al usuario a conectarse contra nuestro equipo.
En nuestro equipo, o en la dirección ip a la que apunte el fichero desktop.ini ejecutaremos la herramienta ntlmreplay (smbrelay3) con el parámetro --challenge 0x1122334455667788.
Dado que la cuenta del usuario no tiene privilegios de administración únicamente podremos hacer uso de su cuenta para autenticarnos con otros recursos, por lo que extraeremos la contraseña del usuario, usando por ejemplo tablas de rainbowtables creadas para atacar el challenge NTLM de red.
En el caso de que no consigamos localizar ningun recurso de red accesible anónimamente, siempre podremos enviar un correo al usuario con un fichero de office que contenga hypervínculos a nuestro equipo.