Banner 1

MIMIKATZ review

Leyendo por ahí noticias, me tope con esta herramienta de un desarrollador francés, aquí su blog. Me sorprendió lo que podemos hacer con ella sobre un equipo window$. La herramienta dispone de varios módulos que nos permiten hacer cosa como forzar la exportación de certificados protegidos o la recuperación de contraseñas en texto claro, inyectando una librería "maliciosa", nada de hashes para luego hacer ataques por diccionario como sucede con otras herramientas.

     Pues me he leído la documentación de los módulos y vamos a probar algunas cosillas. En mi caso lo usare sobre un XP que tengo virtualizado, al que le hago todo tipo de perrerías jaja.

     El LSA es el encargado de que se cumpla la seguridad. Para sacar las contraseñas sólo necesitamos tener privilegios sobre LSA. Así obtendremos las contraseñas en texto plano, no por que estén guardadas así, si no que como son necesarias para gestionar otras cosas, se guardan en un lugar de la memoria en texto claro. Antes de nada vamos a descargarnos los binarios de aquí: Binarios El source desde aquí: Source

     Depende de vuestra arquitectura ejecutareis los de la carpeta "x64" o los de la "Win32" obviamente. Abrimos una terminal, vamos a la carpeta y ejecutamos el mimikatz.exe.

     imagen_1

     Vamos a ver como exportar los certificados, podemos listar la información de las claves que estamos usando:
     crypto::listKeys

     imagen_2

     Como veis no tengo ninguna clave, con lo cual dudo mucho que no me deje exportar algún certificado ja ja. Para ver los certificados que tenéis, en la ventana de ejecutar ponéis certmgr.msc (en XP, los demás no se si será así).

     Para ver los certificados desde la aplicación usamos el comando que pondré a continuación, pero primero podemos listar los diferentes contenedores:
     crypto::listStores CERT_SYSTEM_STORE_CURRENT_USER

     imagen_3

     Podemos mirar en los diferentes lugares del sistema:

     CERT_SYSTEM_STORE_CURRENT_USER
     CERT_SYSTEM_STORE_LOCAL_MACHINE
     CERT_SYSTEM_STORE_CURRENT_SERVICE
     CERT_SYSTEM_STORE_SERVICES
     CERT_SYSTEM_STORE_USERS
     CERT_SYSTEM_CURRENT_USER_GROUP_POLICY
     CERT_SYSTEM_LOCAL_MACHINE_GROUP_POLICY
     CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE


     Y con esto los listamos, especificando al final el contenedor, yo pongo ese porque en los demás no tengo ninguno:
     crypto::listCertificates CERT_SYSTEM_STORE_LOCAL_MACHINE "AuthRoot"

     imagen_4

     Y para exportarlos basta poner:
     crypto::exportCertificates CERT_SYSTEM_STORE_LOCAL_MACHINE "AuthRoot"

     imagen_5

     Los certificados exportados se guardan en la misma carpeta donde ejecutamos el mimikatz, en mi caso todos eran exportables, pero si encontráis algún no exportable, tendríamos que parchear ya sea la CryptoAPI o el servicio de aislamiento de claves CNG. Para esto basta con usar estos comandos:
     crypto::patchapi
     crypto::patchcng

     No olvidéis ejecutar antes el "privilege::debug" para tener privilegios sobre LSA.

     Y ahora vamos con otra funcionalidad de la aplicación, para sacar las contraseñas en texto claro de los usuarios del sistema. Como ya explique al principio de que va, vamos a ir rápido con esto. El proceso es; tomar control sobre LSA, inyectar la librería maliciosa, y dumpear la info:
     privilege::debug
     inject::service samss sekurlsa.dll
     @getLogonPasswords full

     imagen_6

     Yo inyecte la librería en un servicio, pero podéis probar a inyectarla al proceso: inject::process lsass.exe sekurlsa.dll . Una vez que ejecutemos este último comando saldrá un montón de datos, buscamos lo que nos interesa:

     imagen_7

     Y ahí esta la pass que puse, he de decir que a la hora de dumpear las contraseñas, no pude hacerlo en la virtual, y tuve que tirar del xp que tengo en una partición. Aún así veis que salen una ingente cantidad de caracteres "raros", muchos en ascii, otros ni se sabe, yo creo que es por que intenta leer partes de la memoria que no debería.

     Mi consejo, usar con precaución !! a la hora de sacar las contraseñas, hace un poco lo que quiere, por lo menos en mi XP, no probé en otros window$. Y normalmente suele bloquearse la LSA shell, apareciéndonos un mensaje de system con un shutdown programado. Bueno, esta en versión beta, así que no pidamos más ja ja. Otra cosa, solo sacará las contraseñas de los usuarios o administradores que hayan iniciado sesión, pero por probar no perdéis na, o eso espero :B.

FUENTE:http://blog.hackxcrack.es/2012/07/mimikatz-review.html

No hay comentarios:

Powered by Bad Robot
Helped by Blackubay