Hola a tod@s, hoy os traigo otra entrada en el blog sobre la extracción de contraseñas en Windows, pero a diferencia de la última entrada, estas contraseñas están almacenadas en memoria.
Anterior Publicación – EXTRACCIÓN de CONTRASEÑAS – WINDOWS
Como sabemos Windows guarda una copia de las contraseñas NTLM en memoria para no tener que estar constantemente solicitando estas credenciales, esto hace que el proceso de autenticación sea más transparente para el usuario.
En este ejemplo de extracción de las contraseñas NTLM en memoria utilizaremos Mimikatz, con esta herramienta conseguiremos extraer las contraseñas/credenciales de los usurios que tienen sesiones activas en la máquina vulnerada.
El primer paso que vamos a realizar es tener una consola abierta con permisos de administrador:
Una vez tengamos la consola ejecutada procedemos a ejecutar Mimikatz:
El primer paso una vez ejecutado Mimikatz, será obtener privilegios debug para el proceso de Mimikatz:
Utilizaremos la opción logonpasswords del módulo sekurlsa, esto nos devolverá credenciales de distintos proveedores:
Como podemos apreciar en la anterior imagen, podemos comprobar que hemos extraído las credenciales NTLM en memoria para el usuario — Usuario, también podemos apreciar que tenemos la contraseña en texto plano, esto pasará a veces, no siempre aparece.
En la siguiente entrada veremos como realizar fuerza bruta a este tipo de hashes. Espero que os haya gustado la entrada. Un saludo, David.
Pingback: Ataque Windows – Pass The Hash con Mimikatz – Hardsoft Security