mimikatz es una herramienta conocida por que puede extraer las credenciales de windows en texto plano.
procdump de sysinternals es una utilidad de linea de comandos cuyo proposito principal es monitorear una aplicacion y generar volcados de emergencia.
Cual es el problema?
Mimikatz es detectado por demasiados antivirus: Resultado de Virus Total
Por lo cual no puede ser usado en un servidor explotado.
Cual es la solucion?
procdump es una herramienta legitima de microsoft por lo cual no es detectada por el antivirus. El objetivo es volcar el proceso lsass.exe que contiene las credenciales y luego usarlo con mimikatz. Debes de ser administrador para poder utilizarlo. Puedes volcarlo de la siguiente manera:
procdump.exe -accepteula -ma lsass.exe dump.dmp
Resultado
A partir de esto tendra un archivo de volcado del proceso lsass.exe, puedes copiarlo desde el servidor explotado y usar el mimikatz para recuperar las contraseñas en texto plano:
sekurlsa::minidump dump.dmp
log
sekurlsa::logonPasswords
entonces, a menos que sea el admin no se puede? es que quiero justamente eso; utilizar mimikats para obtener la contraseña del admin. Espero mi duda no sea de mucha molestia.
ResponderEliminarSi no eres admin necesitas buscar una forma de escalar privilegios.
Eliminar