> For the complete documentation index, see [llms.txt](https://securitylayer.gitbook.io/securitylayer/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://securitylayer.gitbook.io/securitylayer/pentesting-tools/tools/mimikatz.md). # MimiKatz *¿Qué es Mimikatz?* ***Mimikatz** es una herramienta de **post-explotación para sistemas Windows**, escrita en **C y C++**, que permite **extraer credenciales, manipular procesos de autenticación y abusar de mecanismos de seguridad** como Kerberos, NTLM y LSA.* *Fue creada por **Benjamin Delpy** (`@gentilkiwi`) y ha sido históricamente utilizada en pruebas de penetración, red teaming y análisis forense.* *¿Se ejecuta solo en Windows?* *Sí, **Mimikatz está diseñado para ejecutarse en Windows**, porque:* * *Interactúa directamente con **procesos protegidos** como **`lsass.exe`** (Local Security Authority Subsystem Service).* * *Utiliza funciones nativas del sistema operativo de bajo nivel (Win32 API, LSA functions).* * *Extrae datos sensibles directamente de la **memoria del sistema**.* * *Existen ports o integraciones en frameworks (como **Metasploit**, **Empire**, o **Cobalt Strike**), pero el binario puro de Mimikatz **debe ejecutarse en Windows**, o en un entorno emulado que tenga acceso a memoria de Windows (por ejemplo, usando un dump de LSASS).* #### *¿Es un script .ps1?* * *No, Mimikatz es un **ejecutable nativo (.exe)** compilado.* * *Sin embargo, existen versiones mínimas adaptadas en PowerShell, como **Invoke-Mimikatz.ps1**, que **cargan Mimikatz en memoria** desde un shell sin tocar el disco (bypasseando AV/EDR).* *¿Para qué se utiliza en pentesting?* *Mimikatz es ampliamente usado en pentesting y red teaming por su capacidad para obtener y manipular credenciales:* ***Extracción de credenciales*** * *`sekurlsa::logonpasswords` → extrae credenciales en texto claro, hashes NTLM, tickets Kerberos directamente de memoria.* * *`lsadump::sam` / `lsadump::secrets` → saca hashes del SAM o secretos del sistema.* ***Ataques sobre Kerberos*** * ***Pass-the-Hash** → iniciar sesión usando solo el hash NTLM.* * ***Pass-the-Ticket (PTT)** → inyectar manualmente un ticket `.kirbi` en memoria.* * ***Overpass-the-Hash** → generar un TGT con el hash NTLM.* * ***Golden Ticket** → crear un TGT falso como `krbtgt` (persistence total).* * ***Silver Ticket** → crear TGS falsos para servicios específicos (más sigiloso).* ***Otras capacidades*** * ***Exportar certificados, claves y secretos** (como DPAPI).* * ***Manipular UAC y proteger procesos**.* * ***Interacción con credman, vaults y almacenamientos seguros** de Windows.* *¿Qué lo hace tan peligroso?* * *Puede **bypassear muchas medidas de seguridad** si se ejecuta con privilegios suficientes (p. ej., `SYSTEM`).* * *Permite a un atacante **moverse lateralmente, persistir y escalar privilegios** sin depender de vulnerabilidades tradicionales.* *En resumen* * ***¿Es solo para Windows?** → Sí, por su necesidad de acceder a memoria interna del sistema.* * ***¿Es un script\*\*\*\* ****`.ps1`****?** → No, pero existen formas de cargarlo como script (in-memory).* * ***¿Para qué sirve?** → Extracción de credenciales, manipulación de tickets, ataques Kerberos, persistencia y más.* {% code fullWidth="true" %} ```vim | Módulo | Descripción | |------------------------------|-----------------------------------------------------------------------------| | `sekurlsa::logonpasswords` | Extrae credenciales en texto claro, NTLM, y tickets de sesiones activas. | | `sekurlsa::tickets` | Lista todos los tickets Kerberos en memoria (TGT, TGS, etc.). | | `sekurlsa::pth` | Ejecuta Pass-the-Hash iniciando una sesión con hash NTLM. | | `kerberos::ptt` | Inyecta un ticket `.kirbi` (Pass-the-Ticket) en memoria. | | `kerberos::list` | Muestra los tickets Kerberos cargados en memoria. | | `kerberos::purge` | Elimina todos los tickets Kerberos de la memoria. | | `lsadump::sam` | Extrae hashes de contraseñas del archivo SAM (requiere SYSTEM). | | `lsadump::secrets` | Extrae secretos del sistema, como contraseñas de servicios y cuentas. | | `lsadump::lsa` | Extrae políticas de seguridad del sistema, incluidas claves de dominio. | | `token::list` | Lista todos los tokens de acceso activos en el sistema. | | `token::elevate` | Cambia al token de un proceso con más privilegios (si se permite). | | `privilege::debug` | Habilita privilegios necesarios para acceder a LSASS o inyectar código. | | `vault::cred` | Extrae credenciales almacenadas en el almacén de Windows Vault. | | `dpapi::cred` | Descifra archivos protegidos por DPAPI, como credenciales o secretos. | ``` {% endcode %} ***Ver maquinas:*** [***Acces***](/securitylayer/maquinas-y-modulos-de-htb/windows-easy/access.md) ***(HTB),*** [***Timelapse***](/securitylayer/maquinas-y-modulos-de-htb/windows-easy/timelapse.md) ***(HTB)*** ***Ver módulos:*** [***Attacking Kerberos***](/securitylayer/maquinas-y-modulos-de-thm/modulos/attacking-kerberos.md) ***(THM)*** --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://securitylayer.gitbook.io/securitylayer/pentesting-tools/tools/mimikatz.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.