Análise de Usuarios e Vectores de Ataque: VULN-HE.LAB

Este documento detalla a utilidade estratéxica de cada usuario configurado no laboratorio, indicando se son vulnerables a ataques de dicionario (Rockyou/Kaonashi) e que vías de escalada abren segundo a Guía Mestra.

1. Administrador

Contrasinal: abc123.
Estado en Dicionarios: Moi común. Crackéase case instantaneamente con forza bruta ou dicionarios básicos.
Vectores de Acceso:
- LLMNR Poisoning: O laboratorio xera tráfico automático deste usuario. Capturar o hash con Responder e crackealo é a vía máis rápida.
- Pass-the-Hash: Se se obteñen hashes doutras vías (SeBackup), é o obxectivo final.
Potencial: CONTROL TOTAL (Game Over).

2. brais.t

Contrasinal: iloveyou
Estado en Dicionarios: Presente en rockyou.txt. Moi débil.
Vectores de Acceso:
- Password Spraying / Forza Bruta: Moi vulnerable. É unha das entradas principais.
- AS-REP Roasting: Non vulnerable (ten pre-autenticación activada).
Privilexios/Grupos:
- Remote Management Users: Permite acceso WinRM (probado con evil-winrm).
- SeBackupPrivilege: Vector crítico de escalada.
Conclusión: Unha das principais portas de entrada. Permite escalar a Domain Admin mediante o roubo do NTDS.dit e extracción de hashes.

3. maria.g

Contrasinal: dragon
Estado en Dicionarios: Presente en rockyou.txt. Moi débil.
Vectores de Acceso:
- Password Spraying: Moi vulnerable.
Privilexios/Grupos:
- Remote Desktop Users: Permite acceso RDP.
- Remote Management Users: Permite acceso WinRM (Confirmado na Guía Mestra).
- SeImpersonatePrivilege: Vector crítico de escalada local.
Conclusión: Porta de entrada alternativa. Permite escalar a NT AUTHORITY\SYSTEM local mediante exploits "Potato" (ex: SigmaPotato.exe), permitindo cambiar o contrasinal do Administrador ou crear novos usuarios.

4. nopreauth.user

Contrasinal: AsrepMePlease123
Vulnerabilidade: AS-REP Roasting (Non require pre-autenticación).
Estado en Dicionarios:
- Este contrasinal NON adoita estar en rockyou.txt nin kaonashi por defecto.
Conclusión (Calexón sen saída parcial):
- Podes obter o hash AS-REP facilmente (GetNPUsers).
- PERO, a menos que uses un ataque baseado en regras (rules-based) ou un dicionario customizado, é probable que non logres crackear o hash.
- Serve principalmente para demostrar a vulnerabilidade de configuración, pero no contexto deste laboratorio específico, adoita ser un camiño pechado se non se ten o dicionario adecuado.

5. svc_sql

Contrasinal: SvcPassw0rdKerb!
Vulnerabilidade: Kerberoasting (Ten SPN MSSQLSvc/...).
Estado en Dicionarios:
- Contrasinal complexo. Non presente en dicionarios comúns.
Conclusión (Calexón sen saída parcial):
- Require un usuario previo autenticado para solicitar o ticket TGS.
- Do mesmo xeito que nopreauth.user, o hash obténse facilmente pero o crackeo é difícil con dicionarios estándar.
- O seu valor real reside na Fase 5 (Persistencia): se se obtén o seu hash NTLM por outros medios (DCSync), permite crear Silver Tickets.

6. helpdesk.user

Contrasinal: HelpDeskP@ss1
Estado en Dicionarios: Complexo, probablemente non crackeable facilmente.
Vectores de Acceso:
- Difícil acceso inicial directo por forza bruta.
Potencial Teórico:
- Ten control total (GenericAll ACL) sobre o usuario maria.g.
Conclusión (Calexón sen saída):
- Aínda que a ACL existe, tal como se documenta na Guía Mestra, non hai posibilidade de acceso por consola (WinRM/RDP) con este usuario.
- Polo tanto, o ataque de movemento lateral HelpDesk -> Maria non é executable neste escenario práctico por falta de shell inicial.

Resumo de Rutas de Ataque Viables

Ruta Rápida (Poisoning): Responder -> Hash Admin -> Crack (abc123.) -> WinRM -> Domain Admin.
Ruta Backup (Brais): Spraying (iloveyou) -> brais.t -> WinRM -> SeBackupPrivilege -> Dump NTDS -> Domain Admin.
Ruta Potato (Maria): Spraying (dragon) -> maria.g -> WinRM -> SeImpersonate -> SigmaPotato -> SYSTEM/Domain Admin.