Token de autenticación para linux

El otro día un compi de curro me pasó el siguiente código para auto bloquear/desbloquear la sesión de linux, dependiendo si está conectado un dispositivo con un UUID concreto. Si está presente, la sesión se desbloquea y si lo desconectamos desaparece. el código es el siguiente:


#!/bin/bash

while true
do

#loginctl lock-session
#Test if drive is inserted
test=/usr/sbin/blkid|grep -q "1dcaa605-cb4c-4853-8fa7-f60h432749b0";echo $?
if [ "$test" = "0" ]
then
loginctl unlock-session
else
loginctl lock-session
fi

sleep 2

De esta manera, y usnado esta idea podemos usar como 2FA nuestro móvil, USB… lo que queramos. Recordad sustituir el UUID (1dcaa605-cb4c-4853-8fa7-f60h432749b0)  por el vuestro, no seais muñones 🙂

Hardening SCCM, Configuration Tips

Posteo a continuación una lista de consejos a la hora de administrar configuration manager para una administración responsable y más segura.

  • Las cuentas usuarios NAA (Network access Account), CPA (Client push account) y NDJA (Network domain join account) no necesitan ser Domain admins.
  • Únicamente dar los privilegios adecuados a los distintos administradores de SCCM y no otorgar “Full administrator” a todos los usuarios.
  • NAA (Network access Account) y CPA (Client push account) no necesitan tener privilegios para añadir máquinas al dominio.
  • NAA (Network access Account) y CPA (Client push account) no necesitan tener privilegios para loguearse localmente en una máquina.
  • Si desconoces lo que es un CAS (Central administration site) seguramente es porque no lo necesitas.

Continue Reading

Google Hacking – Introducción

Con este post iniciamos una serie dedicada a Google hacking. Qué es? Para qué sirve? Qué nos ofrece? Y un sin fin de detalles…

Es bien sabida la popularidad de Google a la hora de referirnos a buscadores. Tiene este éxito ya que está desarrollada para hacer la vida más fácil al usuario. Es simple y rápida. Con una simple búsqueda y en décimas de segundo podemos tener toda la información necesaria al alcance de un click.
Pero Google nó solo es una herramienta que hace la vida más fácil a aquellos que su conocimiento de informática es más limitado, si no que a los que trabajamos en IT y en el mundo de la seguridad también. Por qué digo esto? Pues bien, gracias a Google tiene una serie de operadores avanzados que podemos usar, nos abre un mundo de posibilidades para sacar el mayor partido a este buscador. Como toda herramienta con un potencial grande podemos hacer un uso correcto o… más “oscuro” para obtener los resultados que queramos. Pero quién determina si el tipo de uso que hago es con un bien lícitio o no… Simplemente tú!

Google nos ofrece hacer búsquedas avanzadas gracias al uso de operadores. Estos operadores pueden ser básicos o avanzados.

Continue Reading

Previniendo escalada de privilegios para Sticky keys hack.

Ya hemos visto lo sencillo que es escalar privilegios con el método de sticky keys en casi cualquier Windows mientras tengamos accesso físico a la máquina que queremos hackear. Para ver como se hace podemos verlo en los post anteriores que hemos detallado paso a paso cómo conseguirlo de dos maneras diferentes.

Pues bien, para poder evitar este tipo de ataque tenemos dos posibilidades.

  1. Encryptar el disco duro.
  2. Contraseña en la BIOS.
  3. Deshabilitar tanto el USB/CD como opción de arranque en la sequencia de boot.
  4. Deshabilitando Sticky keys de la pantalla de login ejecutando el siguiente comando desde una consola con privilegios de admin.

    reg add “HKU\.DEFAULT\Control Panel\Accessibility\StickyKeys” /v “Flags” /t REG_SZ /d “506” /f

Si queréis revisar los post en los que tratábamos este tipo de ataque podéis hacerlo en los enlaces de abajo.

Escalada de privilegios en Windows, Sticky Keys hack v.1.

Escalada de privilegios en Windows, Sticky Keys hack v.2. (versión mejorada)

Escalada de privilegios en Windows, Sticky Keys hack v.2. (versión mejorada)

Basándonos en la técnica descrita en nuestro anterior POST. Vamos a conseguir el mismo objetivo, escalar privilegios en un equipo Windows 7, 8, 8.1, 10, Server 2012, Server 2016 convirtiéndo nuestro usuario raso en un Espartano local admin.

Para hacer efectivo el hack, necesitamos un CD de instalación de Windows y arrancar el PC con él.

Una vez que estamos en la pantalla de selección de idioma, pulsamos la combinación de teclas “Shift +F10”

Win7 installation

Continue Reading

MAC Authentication (802.1x) en switches HP comware v7.20

A continuación la configuración necesaria para hacer MAC authentication en switches HP con frimware v7.20.

Uno de los requisitos que necesitamos es crear una VLAN a la que redirigir el tráfico para las autenticaciones fallidas. En este caso lo haré creando la vlan 900. En vuestro caso la que os de la gana mientras que no la tengáis en uso. Os recomiendo que uséis una nueva.

Global configuration

dot1x
dot1x authentication-method eap

vlan 900

Continue Reading

FUCK! El servidor se ha reiniciado… ¿qué ha pasado? Eventos con ID 1074 y 1076

El servidor se ha reiniciado… los sudores fríos empiezan a aparecer, preguntas sin parar en la cabeza… a ver qué demonios ha pasado aquí… empezamos a loguearnos rezando a todo lo que se nos ocurre y empezamos a comprobar los servicios y… phew! todo está perfecto! Hemos tenido suerte hoy así que no toca hacer horas extras xD.

Veamos qué cojones ha hecho que me lleve este susto innecesario….

Para poder investigar reinicios de servidor tanto inesperados, como planeados u otras condiciones nos tenemos que ir a nuestro amigo Event Viewer.

Para ello buscaremos eventos con códigos específicos: 1074 y 1076

Continue Reading

SCCM Client – CCMSetup failed with error code 0x80070005

Hoy pegándome en mi lab me he encontrado que varios PCs si instalaban el cliente de SCCM y otros no. Esta situación es bastante rara dado que tantos los que tienen el cliente como los que no están dentro del mismo dominio y no tienen políticas distintas. Mirando el log the ccmsetup.log ubicado en “c:\windows\ccmsetup\logs” me han aparecido otros errores que han desencadenado la no instalación.

Si nos vamos a la parte de arriba del fragmento de log, vemos que tiene problemas al instalar Visual C++ Redistributable 2003. En concreto no puede instalarlo por permisos de escritura de ficheros durante la instalación.

Esto puede ser por varios opciones, entre las que se destacan:

  • Simplemente problema de permisos.
  • Algo bloqueando la instalación como un antivirus.

En mi caso, ha sido el ativirus, por lo que ha sido desactivarlo en el PC relanzar la distribución del agente desde la consola de SCCM y he podido completar la instalación de manera satisfactoria.

P.S. No os olvidéis de activar de nuevo el antivirus… xD

 

 

SCCM – CCMSETUP código de errores

Seguimos batallando contra SCCM y su cliente. Intentando haceros la vida más fácil. A continuación una pequena lista de errores que escupe el cliente de SCCM durante su instalación y si “significado” (si lo entrecomillo porque hay alguno que es bastante lamentable… Se lo podría currar más estos de Microsoft)

 

Espero que esto os sirva de ayuda a la hora de entrar en el túnel oscuro de los errores y veáis luz al final del mismo.