Saltar a contenido

Windows Secret Dump

Windows Secret Dump

En un ejercicio anterior, usamos Mimikatz para reunir 17 identidades. Ahora utilizaremos el módulo Windows Secret Dump para ver si podemos obtener aún más identidades. Este módulo descarga cualquier hash SAM disponible, secretos LSA, hashes de caché de dominio y credenciales de dominio (hashes NTDS) de un sistema objetivo.

Haz clic en la carpeta "Hosts" en la pestaña Network. Aún tenemos un agente activo en el Vagrant box, agent(0).

core_impact_advanced_techniques_windows_secret_dump_image_1_hosts_vagrant_box_agent_0

Volviendo al campo de módulos, escribiremos "secrets" en la barra de búsqueda. Selecciona el módulo Windows Secret Dump y arrástralo al Vagrant box.

core_impact_advanced_techniques_windows_secret_dump_image_2_windows_secret_dump

Esto abrirá una ventana emergente. El objetivo es Vagrant, y usaremos la identidad bajo la cual está nuestro agente. Haz clic en OK.

core_impact_advanced_techniques_windows_secret_dump_image_3_vagrant_target

El módulo terminará de ejecutarse después de aproximadamente 10 segundos. Haz clic en la pestaña de salida del módulo (module output) para ver si había secretos disponibles. Efectivamente, había muchas más identidades disponibles, muchas de las cuales tienen hashes.

core_impact_advanced_techniques_windows_secret_dump_image_4_module_output_windows_secret_dump

Luego, haz clic en la carpeta Identities. Ahora tenemos hasta 30 identidades, muchas de las cuales tienen contraseñas listadas.

core_impact_advanced_techniques_windows_secret_dump_image_5_identities_folder_30

Si hacemos clic en la carpeta Windows NTLM, podemos ver los diferentes hashes.

core_impact_advanced_techniques_windows_secret_dump_image_5_identities_ntlm_folder_hashes

Haz clic derecho en la identidad de vagrant y selecciona Crack using Core CloudCypher.

core_impact_advanced_techniques_windows_secret_dump_image_6_crack_using_core_cloudcypher

Aparecerá una ventana emergente. Haz clic en OK.

core_impact_advanced_techniques_windows_secret_dump_image_7_pop_up_password_cracking

El módulo se ejecutará hasta que finalice. Haz clic en la pestaña del log del módulo para ver la contraseña del hash crackeado.

core_impact_advanced_techniques_windows_secret_dump_image_9_password_cracked_hash

Transcripción del Video:

  1. Introducción:
  2. Hoy vamos a hablar sobre Windows Secret Dump. En nuestro último módulo, hicimos un poco con Mimikatz, hoy te mostraré cómo hacer un poco más y, con suerte, obtener más identidades.

  3. Si recuerdas, después del episodio de Mimikatz, teníamos 17 identidades, de las cuales 4 tenían contraseñas, aunque en realidad eran solo 2 si miras bien.

  4. Selección del Host y Ejecución del Módulo:

  5. Vamos a la carpeta "Hosts". Aún tengo mi agente activo en el Vagrant box.
  6. En el campo de módulos, busco "secrets". Selecciono el módulo Windows Secret Dump y lo arrastro al Vagrant box.
  7. El objetivo es Vagrant, y usaremos la identidad bajo la cual está nuestro agente. Hacemos clic en OK.

  8. El módulo se ejecutará y finalizará después de unos 10 segundos.

  9. Revisión de Resultados:

  10. En la salida del módulo, podemos ver muchas más identidades y hashes.
  11. Ahora estamos hasta 30 identidades, muchas de las cuales tienen contraseñas listadas.

  12. En la carpeta Windows NTLM, podemos ver los diferentes hashes.

  13. Crackeo de Hashes:

  14. Hacemos clic derecho en la identidad de vagrant y seleccionamos Crack using Core CloudCypher.
  15. Aparecerá una ventana emergente, hacemos clic en OK.
  16. El módulo se ejecutará y, una vez finalizado, podemos ver la contraseña del hash crackeado en el log del módulo.

Este video muestra cómo utilizar el módulo Windows Secret Dump en Core Impact para obtener más identidades y hashes de un sistema objetivo, y cómo utilizar Core CloudCypher para crackear esos hashes y obtener contraseñas.