Extensión de Mimikatz para Metasploit

En la última actualización semanal de Metasploit destaca la incorporación de una nueva extensión dedicada a Mimikatz.

Mimikatz es una herramienta desarrollada por @gentilkiwi que permite el volcado de contraseñas en texto plano a través de lsass así como la obtención de hashes de la SAM, entre otras características, y de la que ya hemos hablando en mi anterior post sobre el módulo para metasploit sdel.

Mimikatz es detectada como herramienta maliciosa por los principales antivirus. Según Virustotal a día de hoy al menos 21 de 46 antivirus la detectan, con lo cual, su uso dificulta la labor del pentester.

Sin embargo, gracias a la extensión que ha realizado Meatballs1 para Metasploit es posible a través de meterpreter el uso de mimikatz sin que los antivirus nos alerten, al no tocar disco y ejecutarse completamente en memoria (una alternativa más cómoda al flag –m de execute). Un ejemplo de su uso sería el siguiente. Tras haber conseguido una shell en una máquina objetivo, cargamos a través de “load” la extension mimikatz:

Una vez cargada la extensión en nuestra sesión de meterpreter veamos las opciones que nos ofrece:

Ejecutando por ejemplo el comando “kerberos” obtenemos las credenciales de este tipo en claro que se encuentran en nuestra máquina comprometida:

Otro ejemplo de funcionamiento sería utilizando el comando “mimikatz_command” como podemos ver a continuación:

Con el parámetro logonPasswords conseguimos que nos muestre las sesiones concurrentes de los usuarios que han iniciado sesión en la máquina comprometida. Para el lector que quiera profundizar sobre este tema de cómo Windows almacena sus credenciales, sus debilidades al respecto,  y como mimikatz es capaz de explotar esas debilidades os recomiendo este artículo además de las presentaciones en el blog de Gentilkiwi.

Comments

  1. Muy buen aporte. Intuitivo y fácil de usar, voy a seguir profundizando en este tema.

    Saludos!

  2. Gracias Alejandro. Si, realmente es muy fácil de usar y un tema muy interesante sobre el que indagar.

    Saludos :D