Una vez que hemos escalado privilegios una de las cosas más "golosas" que podemos realizar, sobretodo en un servidor, es obtener las contraseñas en claro de sus usuarios.

Seguro que habéis pensado en Mimikatz o WCE pero hoy vamos a hablaros de una alternativa muy interesante que no usa .dlls del sistema para descifrar las credenciales. Se trata de RWMC (Reveal Windows Memory Credentials), un script que sólo mediante Powershell (AES, TripleDES y el indocumentado DES-X) y comandos del depurador de Windows (Microsoft Console Debugger o CDB) es capaz de conseguir cumplir el sólito nuestros húmedos oscuros deseos.

Funciona desde Windows 2003 a 2012 incluyendo Windows 10 (ha sido probado en 2003, 2008r2, 2012, 2012r2 y Windows 7 - 32 y 64 bits, Windows 8 y Windows 10 Home edition) y apenas deja rastro...

Puedes elegir usar o no cmdlets del DA y funciona de forma local o remota, o extrayendo las contraseñas de un volcado de un proceso lsass de otra máquina o de un snapshot de de una máquina virtual. Basta con tener Powershell 3.0 o superior y una conexión a Internet.

Para usarlo simplemente hay que abrir una consola o un Entorno de script integrado (ISE) como administrador y permitir previamente la ejecución de scripts:

Set-ExecutionPolicy Unrestricted -force

Luego descargar y descomprimir el zip de https://github.com/giMini/RWMC/archive/master.zip.

Y finalmente lanzar el script RWMC.ps1:


Para, después de unos segundos/minutos, recoger los frutos...


Fuente:
https://github.com/giMini/RWMC/tree/master/Reveal-MemoryCredentials

Via: www.hackplayers.com