Buenas a todos, en los últimos meses se ha hablado mucho de la herramienta Mimikatz desarrollada por gentilkiwi (en idioma francés). Esta utilidad permite recuperar credenciales en claro de un equipo Windows, para ello necesita permisos de debug (para el proceso LSASS, os suena de Pass The Hash ¿verdad?).
Mimikatz se aprovecha de que los proveedores de servicios Tspkg y Wdigest almacenan en memoria las credenciales de todos los usuarios que se hayan autenticado en el sistema, tanto en local como a través de escritorio remoto. Sí que es verdad que no las almacena en claro, pero si de una manera reversible.
Para ejecutar esta aplicación con los permisos suficientes (en caso de que no los tuviésemos) nada como tirar de nuestras queridas Sticky Keys y un Live CD de Linux.
Ya con un usuario administrador podremos proceder sin problemas a la extracción de las credenciales de la máquina.
Una vez autenticados con un usuario administrador, copiaremos Mimikatz al equipo (no necesita instalación). Al abrirlo deberéis ejecutar el archivo mimikatz.exe.
Una vez dentro, se abre un prompt en el que introduciremos los 3 siguientes comandos:
- privilege::debug
- inject::process lsass.exe sekurlsa.dll
- @getLogonPasswords
Y eso es todo, obtendremos el usuario y contraseña en claro.
Fácil, sencillo y... otra herramienta de botón gordo para nuestro arsenal.
Nos vemos en el próximo post, saludos!