Si de herramientas post-explotación en entornos Windows hablamos, no podríamos dejar de mencionar a Mimikatz. Esta herramienta cuenta con múltiples funciones entre las que destaca el poder obtener contraseñas que se encuentran almacenadas en el proceso LSASS y mostrarlas en texto claro (si, en texto claro). Con esta acción se ahorrará mucho tiempo que tomaría el proceso cracking de hashes.
A continuación se mostrará como usar Mimikatz para lograr nuestro objetivo. El entorno en el cual se desarrollan las actividades es Windows 8 en español.
El primer paso es realizar un dump de la información procesada/almacenada por el proceso lsass.exe (Local Security Authority Subsystem Service) el cual es el encargado de gestionar las políticas de seguridad del sistema, así como de verificar el inicio de sesión de los usuarios y los cambios de contraseñas de los mismos.
Para realizar esta actividad se deberá ejecutar el siguiente comando:
procdump.exe -ma lsass.exe dump-lsass
Si es la primera ocasión en la que se usa procdump podrá aparecer una pantalla solicitando aceptar la licencia de uso, bastará con dar clic en aceptar/continuar. Una vez terminado de ejecutarse procdump, se mostrará la siguiente pantalla.
En estos momentos se habrá generado el archivo dump-lsass.dmp
A continuación proceder con la ejecución de Mimikatz. Esto debe ser realizado en la misma carpeta en donde se encuentre el archivo dump-lsass.dmp
Una vez iniciado Mimikatz, escribir las siguientes opciones:
-
sekurlsa::Minidump dump-lsass.dmp
-
sekurlsa::logonPasswords
Con esto se realizará el análisis del archivo dump-lsass.dmp y procederá a mostrarse la información solicitada. El resultado se verá como la siguiente imagen.
La sección enmarcada muestra una de las contraseñas obtenidas, sin en cambio, el dump analizado puede contener mas contraseñas de inicio de sesión (aun hacia otros equipos) las cuales podrían verse como la siguiente imagen.
Derivado a que el equipo analizado cuenta con contraseñas productivas, se han alterado los resultados, sin en cambio, se puede identificar que se lograron obtener 12 contraseñas de acceso a diversos servidores Windows.
Importante: Al tratarse de una herramienta post-explotación, los comandos aquí mostrados deberán ser realizados en una terminal con privilegios administrativos.
Procdump y Mimikatz los podrás encontrar en los siguiente enlaces:
- https://technet.microsoft.com/en-us/sysinternals/dd996900.aspx
- https://github.com/gentilkiwi/mimikatz/releases
Recuerda que si la información fue de tu agrado, no olvides compartirla. Si deseas estar al tanto de noticias similares, súmate a mis redes y regalame un Like en Facebook (bit.ly/GF0SSec) o sígueme en Twitter (http://twitter.com/oblituary).
Seguridad Informática. 
Seguí los pasos indicados en tu post pero no funciona, no aparece el password en texto claro. Que se debe cumplir en el ambiente para que de los resultados que tu obtuvistes?
LikeLike
Hola. Al tratarse de una herramienta de post-explotación, deben cumplirse algunos requerimeintos, por ejemplo que la consola de “cmd” sea ejecutada con privilegios de administrador. Para hacer esto en Win8 presionar al mismo tiempo la tecla de Windows + X, esto invocará un menú del cual deberás elegir “Símbolo del sistema (Administrador)” en esa ventana deberán funcionar los comandos. Para complementar mi respuesta, ¿lo que buscas son contraseñas almacenadas en el sistema operativo o en alguna aplicación como Chrome o Firefox? Saludos.
LikeLike