Glosario

📌 ¿Qué es el hive?

En Windows, un hive es un archivo que almacena una porción del registro del sistema. El registro de Windows es una base de datos jerárquica donde se guarda información crítica sobre la configuración del sistema operativo, los usuarios, servicios, controladores y más. Un hive es simplemente una unidad estructurada del registro que se guarda como archivo en el disco.

📂 Archivos hive comunes:

Hive	Ruta en disco	¿Qué contiene?
SAM	C:\Windows\System32\config\SAM	Hashes de contraseñas de cuentas locales.
SYSTEM	C:\Windows\System32\config\SYSTEM	Información de arranque, controladores, y claves de cifrado.
SECURITY	C:\Windows\System32\config\SECURITY	Políticas locales, secretos LSA.
SOFTWARE	C:\Windows\System32\config\SOFTWARE	Configuración de software del sistema y programas instalados.
NTUSER.DAT	C:\Users\<usuario>\NTUSER.DAT	Configuración individual del usuario (fondo de pantalla, historial, etc.).

🛠 ¿Por qué los usamos en hacking?

Los hives, especialmente SAM y SYSTEM, pueden ser extraídos y analizados offline para recuperar credenciales:

• SAM contiene los hashes de las contraseñas.

• SYSTEM contiene la clave de cifrado usada para cifrar los hashes del SAM.

Juntos, permiten usar herramientas como secretsdump.py para dumpear las contraseñas sin necesidad de ser admin total (si tenés SeBackupPrivilege).

📌LDAP (Lightweight Directory Access Protocol)

LDAP es un protocolo de red utilizado para consultar y modificar servicios de directorio, como el Active Directory en Windows. En términos simples, LDAP es una forma estructurada de acceder a una base de datos jerárquica de usuarios, grupos, equipos y otros objetos dentro de un dominio corporativo. Cada objeto en el directorio se identifica con un Distinguished Name (DN), y se pueden realizar consultas específicas sobre sus atributos (por ejemplo, nombre de usuario, membresía en grupos, fechas de login, etc.). LDAP opera normalmente sobre el puerto 389 (sin cifrado) o 636 (LDAPS, cifrado con TLS).

📌¿Qué es un bind anónimo en LDAP?

Un bind anónimo en LDAP es una conexión al servicio sin proporcionar credenciales (usuario y contraseña). En un entorno corporativo seguro, esta operación debería estar deshabilitada, ya que permite a cualquiera consultar el directorio sin autenticación. Si el servidor LDAP acepta binds anónimos, un atacante puede enumerar objetos del dominio (como usuarios y grupos) sin necesidad de acceso autorizado, lo que representa un riesgo de filtración de información sensible. Es uno de los primeros vectores que se testean en una evaluación de seguridad sobre Active Directory.

📌¿Qué es un Exchange?

Exchange es la solución de correo empresarial de Microsoft, diseñada para funcionar estrechamente con Active Directory. Exchange utiliza LDAP para gestionar buzones de correo, usuarios, grupos de distribución y permisos. Cuando se instala Exchange en un dominio, se agregan numerosos objetos y grupos especiales al directorio, muchos de ellos con privilegios ampliados (como los grupos Exchange Trusted Subsystem o Exchange Windows Permissions). En contextos de seguridad ofensiva, estos grupos pueden ser aprovechados para escalar privilegios si las configuraciones no han sido adecuadamente restringidas.

📌¿Qué es Kerberos y que son los TGT (Ticket Granting Ticket)?

Kerberos es un protocolo de autenticación que se utiliza ampliamente en entornos de Active Directory (AD). Su principal función es permitir que los usuarios se autentiquen de forma segura frente a múltiples servicios sin tener que enviar sus contraseñas cada vez. Para esto, utiliza un sistema de tickets y cifrado simétrico.

Un TGT es un Ticket de Concesión de Tickets, emitido por el KDC (Key Distribution Center), que le permite a un usuario autenticado solicitar tickets de servicio para acceder a distintos recursos en la red (por ejemplo, un servidor de archivos o correo).

• Este ticket es cifrado con la clave del KDC (Kerberos Ticket Granting Service) y contiene información como:

  • El nombre del usuario

  • Una marca de tiempo

  • Una clave de sesión

• El usuario solicita el TGT al KDC y, si proporciona las credenciales correctas, lo recibe como prueba de identidad sin volver a enviar su contraseña en texto claro.

📌¿Qué es sAMAccountName?

El atributo sAMAccountName (Security Account Manager Account Name) es el nombre corto o nombre de inicio de sesión compatible con sistemas antiguos, como Windows NT.

• Es único dentro del dominio.

• Se usa para iniciar sesión como DOMINIO\usuario (por ejemplo: support\juan).

• Es el atributo que corresponde al clásico "nombre de usuario" que ves en las pantallas de login.

Ejemplo: Para el usuario juan.perez@support.htb, su sAMAccountName podría ser simplemente juan.perez.