miércoles, 16 de septiembre de 2015

Extracción de hashes y contraseñas en texto plano en Windows 8.1 y 10

Utilizar herramientas como Mimikatz para conseguir obtener las contraseñas en texto plano en un pentest puede suponer un quebradero de cabeza si nos enfrentamos a sistemas como Windows 10 o Windows 8.1 / 8. Tener un hash o una contraseña en plano puede ser igual a efectos prácticos, pero conseguir las contraseñas en plano en un pentest siempre tendrá más impacto para la empresa.




Windows 10 ya está aquí. Bueno ... ya ha estado aquí durante algún tiempo, pero agira está totalmente desplegado y pronto vamos a empezar a ver la adopción empresarial.

Como estoy seguro que muchos otros por ahí, he estado jugando con Windows 10 en un entorno virtual de las últimas semanas. Mi motivación ha sido principalmente para entender cómo el juego ha cambiado con respecto a mi conjunto estándar de herramientas.

En esta entrada del blog, sólo a discutir mis conclusiones en relación con el hash y la extracción de contraseña en texto plano. Todos sabemos que el valor de los hashes de contraseñas de Windows y la diversión que vamos a tener a través de ataques pase-el-picadillo! Si usted no es consciente, le recomiendo mirar a ella. Ahora, yo prefiero tener la contraseña real siempre que sea posible, pero hashes será suficiente si eso es todo lo que puedo conseguir. Naturalmente, me pongo un número de mis sospechosos de siempre para arriba contra Windows 10 para ver cómo iban a llevar a cabo:

  • mimkatz 2.0

  • wce 1.42 beta

  • fgdump 2.10




Todas las pruebas se realizaron en Windows 10 Pro x64.

Los resultados:

  • mimkatz 2.0 Podemos volcar los hashes de las contraseñas, pero no en texto plano
  • wce 1.42 beta No parece para volcar los hashes de contraseñas en texto plano o
  • fgdump 2.10 Funciona como se esperaba y vertederos nuestros hashes
Utilizar Mimikatz, WCE o fgdump en la fase de post-explotación en sistemas Windows 10 o Windows 8.1 puede darnos malos resultados, consiguiendo los hashes, generalmente, pero no la contraseña en texto plano. Como ya he comentado no es tan malo, los hashes rules! y podemos hacer un pass the hash (PtH).


Powershell - Reveal Windows Memory Credentials


En Internet podemos encontrar un conjunto de herramientas llamadas PowerMemory, en la que se localiza RWMC, Reveal Windows Memory Credential. Este script permite modificar entradas en el registro de Windows para el proveedor WDigest, el cual se pone a 1. Para poder lanzar el script hay que tener el máximo privilegio, es decir, ser System. Una vez ejecutado el script se debe reiniciar la máquina.





Interesante opción para el pentest en la post-explotación, por lo que si te encuentras con un Windows 8.1 o Windows 10 y quieres sacar las credenciales en plano puedes utilizar el script RWMC escrito en Powershell para lograrlo.


  • 1 = Windows 7 - 64 bits / 2008r2
  • 132 = Windows 7 - 32 bits
  • 2 = Windows 8/2012
  • 2r2 = Windows 10/2012r2
  • 8.1 = Windows 8.1
  • 3 = Windows XP/2003


Fuentes:
http://www.flu-project.com/2015/09/extraccion-de-hashes-y-contrasenas-en.html
http://www.attactics.org/2015/09/windows-10-extracting-hashes-plaintext.html

1 comentario: