Extracción de hashes y contraseñas en texto plano en Windows 10 y 8.1

Utilizar herramientas como Mimikatz para conseguir obtener las contraseñas en texto plano en un pentest puede suponer un quebradero de cabeza si nos enfrentamos a sistemas como Windows 10 o Windows 8.1 / 8. Tener un hash o una contraseña en plano puede ser igual a efectos prácticos, pero conseguir las contraseñas en plano en un pentest siempre tendrá más impacto para la empresa.

Utilizar Mimikatz, WCE o fgdump en la fase de post-explotación en sistemas Windows 10 o Windows 8.1 puede darnos malos resultados, consiguiendo los hashes, generalmente, pero no la contraseña en texto plano. Como ya he comentado no es tan malo, los hashes rules! y podemos hacer un pass the hash (PtH).

En Internet podemos encontrar un conjunto de herramientas llamadas PowerMemory, en la que se localiza RWMC, Reveal Windows Memory Credential. Este script permite modificar entradas en el registro de Windows para el proveedor WDigest, el cual se pone a 1. Para poder lanzar el script hay que tener el máximo privilegio, es decir, ser System. Una vez ejecutado el script se debe reiniciar la máquina.

Interesante opción para el pentest en la post-explotación, por lo que si te encuentras con un Windows 8.1 o Windows 10 y quieres sacar las credenciales en plano puedes utilizar el script RWMC escrito en Powershell para lograrlo.

Fuente: Flu-Project