Uso del comando PsExec

Introduccin
En este documento se explicar cmo usar el comando PsExec del Sysinternal suite para poder acceder a los hashes
de los password de la mquina atacada y poder tomar acceso de la cuenta de Administrador.
En este ejemplo se usar dos mquinas para simular una pequea red compuesta de la mquina principal (Windows
8) y la mquina target (VM Windows XP SP3), la mquina virtual tiene creado 3 cuentas con contraseas
(Administrador, Usuario y Usuario2).
Se conoce las credenciales de la cuenta Usuario.

Requisitos Previos
1. La mquina target tiene que tener habilitado el protocolo SMB (puertos 445 y 138-139), para verificar esto
seguir los siguientes pasos:
a) Ingresar al panel de control, centro de seguridad y seleccionar la opcin de firewall de Windows

b) En la ventana emergente ir a la pestaa de excepciones y habilitar la opcin Compartir archivos e impresoras

2. Comprobar que se tiene comunicacin entre ambas mquinas siguiendo estos pasos:

a) En la mquina target verificar cual es el hostname y la direccin IP que tiene entrando al CMD (ventana de
comandos) desde el men inicio y ejecutando las sentencias ipconfig y hostaname.

b) En la mquina principal ejecutar una ventana de comandos y ejecutar el comando ping (Hostname o IP) para
verificar la conectividad, debe aparecer el siguiente resultado.

Acceso remoto a los PCs de la red usando los recursos compartidos

administrativos
Windows XP comparte por defecto sus unidades a efectos de administracin. Estas unidades estn ocultas en la
red al llevar el sufijo $
Para acceder desde DOS a estos recursos desde otro ordenador de la red se usa el comando Net use del a
siguiente forma:
net use \\[Hostname or IP Addres] /USER:[Hostname or IP Addres]\[Usuario] [Password]

Para este manual se tena la informacin de la cuenta Usuario de la mquina target con contrasea passw0rd.

Si aparece el error System error 1326 has occurred. The user name or password is incorrect. realizar los siguientes
pasos:
1. En la mquina target ingresar al panel de control > Herramientas administrativas e ingresar a la opcin
Directiva de seguridad local

2. En la ventana emergente ingresar a la ruta Directivas locales > Opciones de seguridad y en la opcin Acceso de
red: modelo de seguridad y para compartir para cuentas locales cambiar el valor a Clsico: Usuarios locales
autenticados como ellos mismos.

Copiar y ejecutar la herramienta fgdump

Para poder obtener los hashes de los password debemos ejecutar la herramienta fgdump en la mquina target
realizando los siguientes pasos:
1. Copiar los archivos fgdump.exe y PsExec.exe en la misma carpeta y abrir una consola de comandos en esa
ruta.

2. Ejecutar el comando de PsExec (psexec \\[Hostname o IP] -u [Usuario] -p [Contrasea] -c s "fgdump.exe") donde el parmetro c indica que se va a copiar y ejecutar un archivo en la mquina
target y s que se va a ejecutar con permisos de sistema.

3. Tomar nota de la IP del server que aparece, se usar luego para poder recuperar el archivo con los hashes
generados.

Obteniendo una consola remota

Una vez ejecutado el fgdump de manera exitosa se procede a recuperar el archivo generado siguiendo los
siguientes pasos:
1. Ejecutar el siguiente comando en la consola de comandos (psexec \\[Hostname o IP] -u [Usuario]
-p [Contrasea] -s cmd), con esto se ejecutar una consola remota de comandos de la mquina
target en la mquina principal.

2. Ahora que tenemos acceso a la carpeta system32 de la mquina target buscamos los archivos que contiene
en el nombre la IP del Servidor (127.0.0.1) con el comando (dir /s 127.0.0.1.*) vemos que existe los
archivos generados por el fgdump 127.0.0.1.cachedump y 127.0.0.1.pwdump, este ltimo es el que queremos
copiar. Ejecutamos el comando (type 127.0.0.1.pwdump) para visualizar el contenido del archivo y ya
tenemos los hashes de los usuarios de la mquina target.

Gracias.