Recuperando senhas do Windows em texto plano

Trago aqui 2 ferramentas muito uteis para se ver o login e senha de usuarios que se autenticaram no Windows.

A primeira é a Mimikatz,ela se  aproveita dos prestadores de serviços TSPKG e WDigest , que usam credenciais armazenados na memória de todos os usuários que foram autenticados no sistema, tanto localmente quanto via desktop remoto. Sim, é verdade que não é armazenado escamcaradamente, mas de uma maneira reversível.

Para executar esta aplicação com permissões suficientes (no caso, não tenha) nada como puxar o nosso velho e bom LIVE CD do Linux.

Já com um usuário administrador pode prosseguir sem problemas na extração das credenciais da máquina.

Uma vez autenticado com um gerenciador de usuários, você irá copiar Mimikatz (não requer instalação). Quando aberta, você terá que executar o mimikatz.exe.

Uma vez lá dentro, ele abre um prompt onde você introduz as seguintes 3 comandos:

  • privilege::debug
  • inject::process lsass.exe sekurlsa.dll
  • @getLogonPasswords

A outra ferramenta é a Windows Credential Editor (WCE) que está na versão (versión 1.3) que inclui, entre suas muitas funções o mesmo como aqueles usados para recuperar as credenciais Mimikatz limpar um usuário do Windows que está autenticado no sistema.

A nova versão do WCE (disponível tanto para 32 bits para 64 bits), é caracterizada como nas versões anteriores por causa de sua simplicidade. Para executar o programa só tem que copiar o download para seu computador. Então, com um usuário com debug (igual na ferramenta anterior), execute o aplicativo adicionando o argumento “-w”:

wce.exe –w

Então, se não houve problema deve ver o nome de usuário e senha em claro

Más silenciosa impossivel :)

Anúncios

Marmita – Detectando ataques man in the middle

Os ataques man in the middle dão muita brecha para se realizar muitos ataques. Desde simplesmente fazer um man in the middle para ver que transações realiza un cliente. Outras técnicas se baseiam na  idea de un man in the middle, por exemplo quando certos trojans realizam ataques MITB, quando infectam a máquina são capazes de modificar as páginas webs que recebe no navegador da víctima.

Neste esquema podemos ver como actúa um ataque man in the middle:

No primeiro esquema, temos uma rede LAN, a qual temos dois usuarios. O usuario Devil User tentará fazer um ataque de man in the middle a outro user. Se o ataque se relizar o esquema ficará assim:

Para detectar estes tipos de ataque na LAN podemos usar varios métodos, um deles é o software Marmita.

Marmita se encarga de monitorar o HOST por si é atacado por um ataque man in the middle.

Para baixar o Marmita pode clicar aquí

Como requisito, é necessário ter instalado Winpcap

A ferramenta possui este apecto:

A ferramenta oferece varias opções, como iniciar junto ao sistema operacional.

Marmita tem este aspecto:

A ferramenta é bastante intuitiva e podemos rápidamente ter acesso a información que nos interesa directamente.

Por exemplo a informação da tabela ARP

Quando Marmita detecte o ataque man in the middle dará um aviso bastante claro, através de un globo de notificação

Marmita tentará identificar quem está fazendo o ataque Man in the middle, este ataque seráregistrado nos logs, para poder consultar mas tarde.

Marmita tem uma janela de histórico de ataques, onde podremos consultor todo o historico. Neste historico tem detalhado a hora, o MAC, o tipo de ataque, o nome do atacante…

Existe uma opção de que Marmita possa mitigar os ataques man in the middle. Neste caso observamos como Marmita detecta o ataque ARP Poisoning.

Sem dúvidas uma ferramnta muito útil para o sistema Windows, te animo a experimentá-la

Saudações.