RWMC, un "Mimikatz" en powershell autosuficiente para obtener las credenciales de Windows

Una vez que hemos escalado privilegios una de las cosas más "golosas" que podemos realizar, sobretodo en un servidor, es obtener las contraseñas en claro de sus usuarios.

Seguro que habéis pensado en Mimikatz o WCE pero hoy vamos a hablaros de una alternativa muy interesante que no usa .dlls del sistema para descifrar las credenciales. Se trata de RWMC (Reveal Windows Memory Credentials), un script que sólo mediante Powershell (AES, TripleDES y el indocumentado DES-X) y comandos del depurador de Windows (Microsoft Console Debugger o CDB) es capaz de conseguir cumplir el sólito nuestros húmedos oscuros deseos.

Funciona desde Windows 2003 a 2012 incluyendo Windows 10 (ha sido probado en 2003, 2008r2, 2012, 2012r2 y Windows 7 - 32 y 64 bits, Windows 8 y Windows 10 Home edition) y apenas deja rastro...

Puedes elegir usar o no cmdlets del DA y funciona de forma local o remota, o extrayendo las contraseñas de un volcado de un proceso lsass de otra máquina o de un snapshot de de una máquina virtual. Basta con tener Powershell 3.0 o superior y una conexión a Internet.


Para usarlo simplemente hay que abrir una consola o un Entorno de script integrado (ISE) como administrador y permitir previamente la ejecución de scripts:

Set-ExecutionPolicy Unrestricted -force

Luego descargar y descomprimir el zip de https://github.com/giMini/RWMC/archive/master.zip.

Y finalmente lanzar el script RWMC.ps1:



Para, después de unos segundos/minutos, recoger los frutos...


Repositorio PowerMemory: https://github.com/giMini/PowerMemory

6 comentarios :

  1. Sería bueno anotar paliativos o ayuda para prevenir esto
    1.-Si se tiene activado por GPO la auditoría de powershell par alos cmdlets podría ayudar para al menos tener rastro de su ejecución.
    2.-Si se usa algún tipo de "control aplicacional" (Applocker, los propios AV que lo implementen, etc.), se puede siempre tener bloqueado Powershell y/o el debugger del que hace uso (cdb.exe).

    Un saludo y gracias como siempre

    ResponderEliminar
    Respuestas
    1. buena puntualización.. a tener en cuenta para la defensa ;)

      Eliminar
  2. Muy interesante.
    Has probado en Win10 Pro x64?

    Un saludo.

    ResponderEliminar
  3. y como lo hago si no tengo persmisos de administrador?

    ResponderEliminar
  4. Indicaros que Reveal Windows Memory Credentials (RWMC) ya no dispone de soporte pero en su defecto tendríamos PowerMemory:

    Download. https://github.com/giMini/PowerMemory

    ResponderEliminar