28 junio, 2018

Volcado de hashes NTLM y contraseñas en texto plano de Windows con Mimikatz

Mimikatz es una herramienta archiconocida de cracking que nso permitirá la obtención de contraseñas de usuarios de un sistema. Nos volcará (dumping) las contraseñas den texto plano y los hashses de la SAM (Security Account Manager). que nos mostrará .

Hay mucha información al respecto sobre esta tool y como sacarle un buen partido. Más info: https://adsecurity.org/?page_id=1821

De todos modos, no había hablado de ella hasta ahora. Recientemente tuve que hacer uso de ella para conocer la password de unos usuarios locales creados en un sistema. Comprobé que aún seguía funcionando para Windows 10 como lo hacía para Windows 7 ya que el desarrollador fue actualizando esta herramienta.

Para un correcto funcionamiento Mimikatz debe ejecutarse con privilegios de administrador. Podremos ver en texto plano las contraseñas del resto de usuarios locales y de las credenciales de puntos de montaje que tengamos en el sistema.

Una vez descarguemos Mimikatz, abrimos una consola de comandos y nos situamos en el path donde lo hubiésemos descargado, ejecutamos el binario "mimikatz.exe" dependiento la arquitectura de nuestro sistema (32 bits o 43 bits). Para acceder al prompt que nos proporciona y escribimos.

Extracción de hashes NTLM realizando un volcado de hashes del fichero SAM. Nos situamos en el modo debug, teniendo el token de un usuario administrador local del sistema podemos impersonarlo y elevarlo a SYSTEM para realizar este volcado con el módulo lsadump de Mimikatz.
privilege::debug
token::elevate
lsadump::sam
Figura 1: Volcado de hashes NTLM de los usuarios de la base de datos local SAM.

Extracción de contraseñas en texto plano de los usuarios locales de Windows usando el módulo sekurlsa de Mimikatz.
privilege::debug
sekurlsa::logonPasswords
Desde el módulo sekurlsa podríamos usar el comando wdigest (sekurlsa::wdigest) pero esto solo tendría sentido para sistemas no superiores a Windows 7 ya que la funcionalidad de envío de credenciales a través de wdigest no está admitida en en versiones posteriores.

Finalmente obtenemos el resultado con las contraseñas de usuarios locales en texto plano. LogonPasswords nos muestra también los hashes NT lo cual también es interesante.

Figura 2: Volcado de contraseñas en texto plano de los usuarios locales de Windows.

Saludos!

No hay comentarios:

Publicar un comentario

Entradas Relacionadas