¿Cómo EXTRAER CONTRASEÑAS en memoria de Windows?

Hola a tod@s, hoy os traigo otra entrada en el blog sobre la extracción de contraseñas en Windows, pero a diferencia de la última entrada, estas contraseñas están almacenadas en memoria.

Anterior Publicación – EXTRACCIÓN de CONTRASEÑAS – WINDOWS

Como sabemos Windows guarda una copia de las contraseñas NTLM en memoria para no tener que estar constantemente solicitando estas credenciales, esto hace que el proceso de autenticación sea más transparente para el usuario.

En este ejemplo de extracción de las contraseñas NTLM en memoria utilizaremos Mimikatz, con esta herramienta conseguiremos extraer las contraseñas/credenciales de los usurios que tienen sesiones activas en la máquina vulnerada.

El primer paso que vamos a realizar es tener una consola abierta con permisos de administrador:

cmd con permisos de administrador

Una vez tengamos la consola ejecutada procedemos a ejecutar Mimikatz:

Ejecución de Mimikatz

El primer paso una vez ejecutado Mimikatz, será obtener privilegios debug para el proceso de Mimikatz:

Modo debug

Utilizaremos la opción logonpasswords del módulo sekurlsa, esto nos devolverá credenciales de distintos proveedores:

Extracción de contraseñas en memoria

Como podemos apreciar en la anterior imagen, podemos comprobar que hemos extraído las credenciales NTLM en memoria para el usuario — Usuario, también podemos apreciar que tenemos la contraseña en texto plano, esto pasará a veces, no siempre aparece.

En la siguiente entrada veremos como realizar fuerza bruta a este tipo de hashes. Espero que os haya gustado la entrada. Un saludo, David.

Please follow and like us:

Un comentario sobre “¿Cómo EXTRAER CONTRASEÑAS en memoria de Windows?

  1. Pingback: Ataque Windows – Pass The Hash con Mimikatz – Hardsoft Security

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.