"Identificadores De Seguridad En Windows"
                                  (SIDs)
Una de las cosas mas importantes al momento de hacer enumeracion en una infraestructura de red sea simple o compleja es buscar al usuario administrador ya que es este ultimo quien tiene los privilegios necesarios para poder acceder a todos los recursos del sistema y poder ejecutar en este cualquier dll infectada o algun payload que hayamos creado con el framework metasploit o nosotros mismos en algun lenguaje de programacion.
aunque hay muchos programas pre-establecidos para saber los identificadores de seguridad conviene saber todas las partes de este mismo para poder identificar a simple vista quien es usuario y quien es el administrador en la red compartida.
teniendo conocimiento de esto ultimo podemos enumerar los usuarios de este ultimo y ejecutar los famosos programas sid2user entre otros tantos que se pueden encontrar facilmente por la red de redes.
conocer la estructura de cualquier formato, fichero, sistema de archivos, protocolo de red, etc, es importante para conocer a fondo como funcionan las cosas,  mas sin embargo conocer solamente como funciona alguna herramienta es cosa de personas sin sentido profesional y sin conocimiento tecnico,  cuando usted se interese por algo en especifico , investigue como funciona a fondo, como funciona y se relaciona con otras tecnologias, cual es su seguridad desde el punto de vista tecnico y cual puede ser su posible vulnerabilidad al poder usar este mismo.
a continuacion vemos el formato de los identificadores de seguridad en windows,  o los llamados (SIDs) , recordemos que nuestro objetivo principal de post-explotacion debe ser conseguir los privilegios de administrador para poder ejecutar cualesquiera herramienta en la maquina remota asi como poder ocultar rootkits sin que este se le muestre al verdadero administrador de sistemas.

 En la siguiente imagen podemos observar  donde se resume que los identificadores de seguridad en windows tienen una estructura de un identificador de autoridad seguido de dos subautoridades y un identificador relativo.

Cada vez que un usuario inicia sesión, el sistema crea un token de acceso para dicho usuario. El token de acceso contiene el SID del usuario, derechos de usuario y los SID de cualquier grupo al que pertenece el usuario. Este token proporciona el contexto de seguridad para las acciones que realiza el usuario en ese equipo.

  
 el identificador de seguridad consta de 6 bytes , los valores de las subautoridades son de 32 bits y por ultimo 32 bits del identificador relativo.
 donde S y 1 son cadenas literales, ademas de que pueden especificar cuentas especiales como observaremos mas adelante en este articulo.

Componentes

• Revision:  indica cual es la version de la estructura de el SID que se utiliza en el mismo SID.
• Autoridad_Identificador: indica el nivel de autoridad mas alto que puede emitir el SID en un determinado tipo de seguridad por ejemplo el valor de autoridad para el grupo todos es 1.
• Subautoridades: contiene una serie de uno o mas valores de autoridades , todos los valores sin incluir el ultimo de la serie que indica el numero de dominio.

• Identificador_Relativo: identifica una cuenta concreta o un grupo con respecto a un dominio o un controlador de dominios.
•  

las subautoridades se generan mediante un algoritmo privativo de microsoft y estas van relacionadas con el grupo al que pertenecen estas varian de acuerdo a los controladores de dominio y el active directory cada vez que algun administrador crea una nueva cuenta y selecciona un grupo para esta misma asi como la password, estas estan estrechamente relacionadas con las caracteristicas de las cuentas creadas, para nada es un suceso aleatorio.
  
cabe destacar que las subautoridades se crean mediante un numero aleatorio de 96 bits  por lo tanto cada sub-autoridad en este caso recibe un valor especifico de 32 bits.
Cuando los identificadores relativos tienen cerca de un valor de 1000 y menor que 1000 son consideradas cuentas especiales para administracion remota, entre varios controladores de dominio entre otras cosas interesantes.
un dato muy importante es que cuando el valor del identificador relativo es de 500 y pertenece al grupo de 500 son usuarios administradores del sistema, y por lo tanto este es nuestro objetivo principal en todos los casos.
se necesitaria robar la password encriptada SAM para atacarla con fuerza bruta con algun programa externo para poder desencriptar la password  y asi tener el control completo de la maquina.
 un dato importante es despues del prefijo S-1 el numero 5 corresponde a un valor del grupo del dominio si este se vuelve a repetir en otro SID estamos ante un grupo con varias maquinas en un controlador de dominio de active directory.

Componentes del Ejemplo SID:

• Un nivel de revision 1
• una autoridad de identificacion (5, NT AUTORITHY) 
• identificador unico de dominio de tres sub-autoridades
• un identificador relativo en este caso 512 pertenece al grupo administrador. 

 Identificadores de Seguridad Conocidos:
en algunos casos el sistema windows reconoce ciertas caracteristicas e identifica y nombra algunos casos especiales automaticamente esta es una breve descripcion de ciertos casos de algun identificador de seguridad para distintas ocasiones.

S-1-5-1

Un grupo que incluye todos los usuarios que hayan iniciado sesión en el sistema mediante una conexión de acceso telefónico.

S-1-5-6

Service

Un grupo que incluye a todas las entidades de seguridad que han iniciado sesión como un servicio.

 

S-1-5-32-546

Un grupo integrado. De forma predeterminada, el único miembro es la cuenta de invitado. El grupo Invitados permite a los usuarios ocasionales o único iniciar sesión con privilegios limitados a la cuenta de invitado de un equipo.    nos vemos en otro articulo , que esten bien! :). Luis Angel F. Referencias:  https://technet.microsoft.com/es-es/library/dn743661(v=ws.11).aspx