Análise de Usuarios e Vectores de Ataque: VULN-HE.LAB

Este documento detalla a utilidade estratéxica de cada usuario configurado no laboratorio, indicando se son vulnerables a ataques de dicionario (Rockyou/Kaonashi) e que vías de escalada abren segundo a Guía Mestra.

1. Administrador

Contrasinal: abc123.
Estado en Dicionarios: Moi común. Crackéase case instantaneamente con forza bruta ou dicionarios básicos.
Vectores de Acceso:
- LLMNR Poisoning: O laboratorio xera tráfico automático deste usuario. Capturar o hash con Responder e crackealo é a vía más rápida.
- Pass-the-Hash: Se se obteñen hashes doutras vías (SeBackup), é o obxectivo final.
Potencial: CONTROL TOTAL (Game Over).
Uso en Persistencia:
- Golden Ticket: O hash NTLM do Administrador (3ec585243c919f4217175e1918e07780) pode utilizarse como usuario suplantado nos Golden Tickets, pero o ticket non depende deste hash para ser válido (depende do hash de krbtgt).
- Silver Ticket: Pode suplantarse o Administrador en tickets forxados para servizos específicos, proporcionando acceso elevado a eses servizos sen coñecer o contrasinal real.

2. brais.t

Contrasinal: iloveyou
Estado en Dicionarios: Presente en rockyou.txt. Moi débil.
Vectores de Acceso:
- Password Spraying / Forza Bruta: Moi vulnerable. É unha das entradas principais.
- AS-REP Roasting: Non vulnerable (ten pre-autenticación activada).
Privilexios/Grupos:
- Remote Management Users: Permite acceso WinRM (probado con evil-winrm).
- SeBackupPrivilege: Vector crítico de escalada.
Conclusión: Unha das principais portas de entrada. Permite escalar a Domain Admin mediante o roubo do NTDS.dit e extracción de hashes.
Uso en Persistencia: Non ten valor directo para persistencia avanzada, pero ao permitir extracción de hashes (incluído krbtgt e svc_sql), habilita a creación de Golden e Silver Tickets en fases posteriores.

3. maria.g

Contrasinal: dragon
Estado en Dicionarios: Presente en rockyou.txt. Moi débil.
Vectores de Acceso:
- Password Spraying: Moi vulnerable.
Privilexios/Grupos:
- Remote Desktop Users: Permite acceso RDP.
- Remote Management Users: Permite acceso WinRM (Confirmado na Guía Mestra).
- SeImpersonatePrivilege: Vector crítico de escalada local.
Conclusión: Porta de entrada alternativa. Permite escalar a NT AUTHORITY\SYSTEM local mediante exploits "Potato" (ex: SigmaPotato.exe), permitindo cambiar o contrasinal do Administrador ou crear novos usuarios.
Uso en Persistencia:
- Golden Ticket: Pode suplantarse a maria.g nun Golden Ticket, pero o seu valor é limitado xa que non ten privilexios de Domain Admin por si mesma.
- Silver Ticket: Tras escalar a SYSTEM mediante SeImpersonate, pódese acceder aos hashes necesarios para crear Silver Tickets.

4. nopreauth.user

Contrasinal: AsrepMePlease123
Vulnerabilidade: AS-REP Roasting (Non require pre-autenticación).
Estado en Dicionarios:
- Este contrasinal NON adoita estar en rockyou.txt nin kaonashi por defecto.
Conclusión (Calexón sen saída parcial):
- Podes obter o hash AS-REP facilmente (GetNPUsers).
- PERO, a menos que uses un ataque baseado en regras (rules-based) ou un dicionario customizado, é probable que non logres crackear o hash.
- Serve principalmente para demostrar a vulnerabilidade de configuración, pero no contexto deste laboratorio específico, adoita ser un camiño pechado se non se ten o dicionario adecuado.
Uso en Persistencia: Ningunha utilidade directa. Non ten privilexios especiais nin SPN configurado. É un usuario de "demostración didáctica" de AS-REP Roasting sen valor práctico para persistencia.

5. svc_sql

Contrasinal: SvcPassw0rdKerb!
Hash NTLM: ad2896ecfb9b443720bab09bb020f852
Vulnerabilidade: Kerberoasting (Ten SPN MSSQLSvc/VULN-DC-01.vuln-he.lab:1433).
Estado en Dicionarios:
- Contrasinal complexo. Non presente en dicionarios comúns.
Conclusión (Calexón sen saída parcial para cracking):
- Require un usuario previo autenticado para solicitar o ticket TGS.
- Do mesmo xeito que nopreauth.user, o hash obtense facilmente pero o crackeo é difícil con dicionarios estándar.
Uso en Persistencia (CRÍTICO):
- Silver Ticket: Esta é a conta CLAVE para a Fase 5 (Persistencia). O seu hash NTLM (ad2896ecfb9b443720bab09bb020f852) úsase para forxar Silver Tickets que proporcionan acceso persistente ao servizo MSSQL durante 10 anos.
- Obtención do hash:
  - Vía SeBackupPrivilege (brais.t): Extracción desde NTDS.dit ou SAM.
  - Vía DCSync (Administrador): impacket-secretsdump ou Mimikatz.
  - Vía Kerberoasting (se se crackea o contrasinal).
- Resultado: Acceso persistente a SQL Server como Administrador sen necesidade de contactar co KDC, habilitando execución remota mediante xp_cmdshell e posterior escalada a SYSTEM mediante SeImpersonate.

6. helpdesk.user

Contrasinal: HelpDeskP@ss1
Estado en Dicionarios: Complexo, probablemente non crackeable facilmente.
Vectores de Acceso:
- Difícil acceso inicial directo por forza bruta.
- Obtención de credenciais: Tras compromiso total (dump de NTDS/SAM con brais.t ou Administrador).
Potencial de Explotación:
- Ten control total (GenericAll ACL) sobre o usuario maria.g.
Conclusión (RUTA VIABLE):
- Aínda que non ten acceso WinRM/RDP, o ataque de movemento lateral SI É EXECUTABLE mediante rpcclient desde Linux.
- Procedemento:
  1. Obter credenciais de helpdesk.user (ex: tras dump completo de hashes con SeBackupPrivilege).
  2. Usar rpcclient para cambiar remotamente o contrasinal de maria.g sen necesidade de shell:
```
$ rpcclient -U "VULN-HE.LAB\helpdesk.user%HelpDeskP@ss1" 192.168.56.100
rpcclient $> setuserinfo2 maria.g 23 'NovoPassword123!'
```
  3. Acceder como maria.g mediante WinRM.
  4. Executar ataque Potato (SeImpersonatePrivilege) para escalar a SYSTEM.
Cadea de Ataque Completa:
1. Compromiso inicial (brais.t/Administrador) → Dump de hashes → Obtención de credenciais de helpdesk.user.
2. Abuso de ACL (GenericAll) → Control remoto de maria.g vía rpcclient.
3. Acceso como maria.g → Abuso de Privilexio (SeImpersonate) → SYSTEM.
Uso en Persistencia: Utilidade indirecta. Non ten valor directo para persistencia, pero permite movemento lateral a maria.g, que pode levar a SYSTEM e posterior acceso aos hashes necesarios para Silver/Golden Tickets.

7. krbtgt

Hash NTLM: f8d660354307503cae5a4a735d110da0
Descripción: Conta especial de servizo de Active Directory que non caduca nunca por defecto. Úsase polo KDC para asinar todos os TGTs do dominio.
Vulnerabilidade: Non é directamente atacable, pero o seu hash NTLM é o obxectivo máis crítico no dominio.
Obtención do Hash:
- Vía SeBackupPrivilege (brais.t): Extracción desde NTDS.dit.
- Vía DCSync (Administrador/brais.t): impacket-secretsdump ou Mimikatz.
Uso en Persistencia (MÁXIMA PRIORIDADE):
- Golden Ticket: O hash de krbtgt permite forxar TGTs válidos para TODO o dominio durante 10 anos por defecto.
- Resultado: Acceso total e persistente a calquera recurso do dominio como calquera usuario (incluído Administrador) sen necesidade de contactar co KDC.
- Invalidación: Requírese resetar o contrasinal de krbtgt DÚAS veces consecutivas para invalidar todos os Golden Tickets.
Impacto: PEOR ESCENARIO POSIBLE - Compromiso total do dominio con persistencia de longo prazo (até 10 anos) practicamente indetectable.

Resumo de Rutas de Ataque Viables

Fase 1-4: Acceso e Escalada

Ruta Rápida (Poisoning): Responder → Hash Admin → Crack (abc123.) → WinRM → Domain Admin.
Ruta Backup (Brais): Spraying (iloveyou) → brais.t → WinRM → SeBackupPrivilege → Dump NTDS → Domain Admin.
Ruta Potato (Maria): Spraying (dragon) → maria.g → WinRM → SeImpersonate → SigmaPotato → SYSTEM/Domain Admin.
Ruta ACLs (HelpDesk): Dump hashes → helpdesk.user → rpcclient → Cambio contrasinal maria.g → WinRM → Potato → SYSTEM/Domain Admin.

Fase 5: Persistencia Avanzada (Post-Compromiso Total)

Persistencia por Servizo (Silver Ticket):
- Requisito: Hash NTLM de svc_sql (ad2896ecfb9b443720bab09bb020f852)
- Obtención: Vía SeBackupPrivilege (brais.t) ou DCSync (Administrador)
- Resultado: Acceso persistente (10 anos) ao servizo MSSQL como Administrador
- Capacidades: Execución remota mediante xp_cmdshell + escalada a SYSTEM mediante SeImpersonate
- Invalidación: Cambiar contrasinal de svc_sql
Persistencia Total do Dominio (Golden Ticket):
- Requisito: Hash NTLM de krbtgt (f8d660354307503cae5a4a735d110da0)
- Obtención: Vía SeBackupPrivilege (brais.t) ou DCSync (Administrador)
- Resultado: Acceso total ao dominio (10 anos) como calquera usuario
- Capacidades: Control completo sobre todos os recursos, servizos e sistemas do dominio
- Invalidación: Resetar contrasinal de krbtgt DÚAS veces consecutivas
- Sigilo: Non contacta co KDC, moi difícil de detectar

Táboa Resumo de Utilidade por Usuario

Usuario	Contrasinal	Dicionario	Acceso Inicial	Escalada	Persistencia	Prioridade
Administrador	`abc123.`	✅ Rockyou	LLMNR/PTH	Game Over	Golden/Silver (suplantado)	⭐⭐⭐⭐⭐
brais.t	`iloveyou`	✅ Rockyou	Spraying/WinRM	SeBackup→DA	Habilita Golden/Silver	⭐⭐⭐⭐⭐
maria.g	`dragon`	✅ Rockyou	Spraying/WinRM	SeImpersonate→SYSTEM	Indirecta vía SYSTEM	⭐⭐⭐⭐
nopreauth.user	`AsrepMePlease123`	❌ Non común	AS-REP Roasting	Calexón pechado	Ningunha	⭐
svc_sql	`SvcPassw0rdKerb!`	❌ Complexo	Kerberoasting	Difícil crackeo	Silver Ticket CRÍTICO	⭐⭐⭐⭐⭐
helpdesk.user	`HelpDeskP@ss1`	❌ Complexo	Post-compromiso	ACL→maria.g→Potato	Indirecta vía maria.g	⭐⭐⭐
krbtgt	N/A	N/A	Non aplicable	Non aplicable	Golden Ticket CRÍTICO	⭐⭐⭐⭐⭐

Notas Finais

Usuarios "Calexón pechado" (nopreauth.user): Configurados para demostración didáctica de vulnerabilidades, pero non son rutas viables no contexto deste laboratorio específico sen dicionarios customizados.
Contas críticas para persistencia (svc_sql, krbtgt): Aínda que o seu compromiso inicial é difícil ou imposible, o seu valor reside en fases avanzadas (Fase 5) tras obter privilexios elevados.
helpdesk.user - Ruta viable: Aínda que non permite acceso WinRM/RDP directo, SI permite explotación mediante rpcclient para movemento lateral a maria.g, que leva a SYSTEM mediante Potato.
Persistencia vs Acceso Inicial: O laboratorio distingue claramente entre usuarios útiles para acceso inicial (brais.t, maria.g, Administrador) e contas críticas para persistencia (krbtgt, svc_sql) que só cobran valor tras compromiso total.