mimikatz.sys
parce que l’on est si bien en ring 0
Méthodes offertes :
pingssdtlistModuleslistProcesseslistFilterslistMinifilterslistNotifProcesseslistNotifThreadslistNotifImageslistNotifRegistrysysTokenprivProcesses
ping
Description : Teste le canal de communication avec le pilote noyau
Exemple : !ping
mimikatz # !ping Pong (from ring 0 :)
ssdt
Description : Affiche la « System Service Dispatch Table » ou « SSDT »
Informations : http://fr.wikipedia.org/wiki/System_Service_Dispatch_Table
Exemple : !ssdt
mimikatz # !ssdt kSSDT - KeServiceDescriptorTable : FFFFF800028BC940 kSSDT - KeServiceDescriptorTable.TableSize : 401 [ 0] : FFFFF80002A9A880 [ntoskrnl.exe+4774016] [ 1] : FFFFF80002980370 [ntoskrnl.exe+3617648] [...] [ 399] : FFFFF80002AA9270 [ntoskrnl.exe+4833904] [ 400] : FFFFF8000267DD50 [ntoskrnl.exe+462160]
listModules
Description : Liste les modules chargés en mode noyau (typiquement pilotes et librairies)
Exemple : !listModules
mimikatz # !listModules Ouverture du pilote mimikatz : OK FFFFF8000381F000 - 06197248 [ntoskrnl.exe] \SystemRoot\system32\ntoskrnl.exe FFFFF80003E08000 - 00299008 [hal.dll] \SystemRoot\system32\hal.dll FFFFF80000BC1000 - 00040960 [kdcom.dll] \SystemRoot\system32\kdcom.dll FFFFF88000CDC000 - 00323584 [mcupdate_GenuineIntel.dll] \SystemRoot\system32\mcupdate_GenuineIntel.dll FFFFF88000D2B000 - 00081920 [PSHED.dll] \SystemRoot\system32\PSHED.dll FFFFF88000D3F000 - 00385024 [CLFS.SYS] \SystemRoot\system32\CLFS.SYS FFFFF88000C00000 - 00786432 [CI.dll] \SystemRoot\system32\CI.dll FFFFF88000E95000 - 00671744 [Wdf01000.sys] \SystemRoot\system32\drivers\Wdf01000.sys FFFFF88000F39000 - 00061440 [WDFLDR.SYS] \SystemRoot\system32\drivers\WDFLDR.SYS FFFFF8800102E000 - 01470464 [sptd.sys] \SystemRoot\System32\Drivers\sptd.sys FFFFF88001195000 - 00356352 [ACPI.sys] \SystemRoot\system32\drivers\ACPI.sys [...]
listProcesses
Description : Liste les processus vues du noyau
Exemple : !listProcesses
mimikatz # !listProcesses 4 System 288 smss.exe 392 csrss.exe 472 wininit.exe 492 csrss.exe 532 services.exe 548 lsass.exe 560 lsm.exe 684 svchost.exe 764 svchost.exe 828 MsMpEng.exe 884 atiesrxx.exe 920 winlogon.exe [...]
listFilters
Description : Liste les filtres du système de fichiers
Exemple : !listFilters
mimikatz # !listFilters kFiltersList - ActualNumberDriverObjects : 1 [00] \FileSystem\FltMgr
listMinifilters
Description : Liste les minifiltres du système de fichiers
Exemple : !listMinifilters
mimikatz # !listMinifilters kMiniFiltersList MpFilter Instance 0 @ \Device\Mup [0x16 CREATE ] FFFFF88001637E90 [MpFilter.sys+56976] / FFFFF8800163ABBC [MpFilter.sys+68540] [0x1a WRITE ] FFFFF880016420D0 [MpFilter.sys+98512] / FFFFF8800162C778 [MpFilter.sys+10104] [0x1c SET_INFORMATION ] FFFFF8800163C144 [MpFilter.sys+74052] / FFFFF8800163C428 [MpFilter.sys+74792] [0x23 FILE_SYSTEM_CONTROL ] FFFFF8800164BD88 [MpFilter.sys+138632] / FFFFF8800164BF10 [MpFilter.sys+139024] [0x28 CLEANUP ] FFFFF88001632D54 [MpFilter.sys+36180] / 0000000000000000 [?] Instance 1 @ \Device\HarddiskVolume3 [0x16 CREATE ] FFFFF88001637E90 [MpFilter.sys+56976] / FFFFF8800163ABBC [MpFilter.sys+68540] [0x1a WRITE ] FFFFF880016420D0 [MpFilter.sys+98512] / FFFFF8800162C778 [MpFilter.sys+10104] [0x1c SET_INFORMATION ] FFFFF8800163C144 [MpFilter.sys+74052] / FFFFF8800163C428 [MpFilter.sys+74792] [0x23 FILE_SYSTEM_CONTROL ] FFFFF8800164BD88 [MpFilter.sys+138632] / FFFFF8800164BF10 [MpFilter.sys+139024] [0x28 CLEANUP ] FFFFF88001632D54 [MpFilter.sys+36180] / 0000000000000000 [?] [...]
listNotifProcesses
Description : Liste notifications processus inscrites en mode noyau
Exemple : !listNotifProcesses
mimikatz # !listNotifProcesses kListNotifyProcesses [00] FFFFF800038671E0 [ntoskrnl.exe+295392] [01] FFFFF880010E3F88 [sptd.sys+745352] [02] FFFFF880015BA1E0 [ksecdd.sys+74208] [03] FFFFF880013713D0 [cng.sys+50128] [04] FFFFF88001878950 [tcpip.sys+469328] [05] FFFFF88000C17BA0 [CI.dll+97184] [06] FFFFF8800164DD10 [MpFilter.sys+146704] [07] FFFFF880074E0D2C [peauth.sys+101676]
listNotifThreads
Description : Liste notifications de threads inscrites en mode noyau
Exemple : !listNotifThreads
mimikatz # !listNotifThreads kListNotifyThreads [00] FFFFF8800164E584 [MpFilter.sys+148868]
listNotifImages
Description : Liste notifications de chargements d’images (au sens binaire) inscrites en mode noyau
Exemple : !listNotifImages
mimikatz # !listNotifImages kListNotifyImages [00] FFFFF80003BB87C0 [ntoskrnl.exe+3774400] [01] FFFFF8800164E2D4 [MpFilter.sys+148180]
listNotifRegistry
Description : Liste notifications de la base de registre inscrites en mode noyau
Exemple : !listNotifRegistry
mimikatz # !listNotifRegistry kListNotifyRegistry [00] FFFFF8800121B9B8 [MpFilter.sys+113080] - alt 425000 - cookie 0x1ccdea7af1465a3
sysToken
Description : Affecte un token SYSTEM aux processus cmd.exe et mimikatz.exe
Remarque : manipule temporairement le flag PrimaryTokenFrozen sous NT6
Exemple : !sysToken
mimikatz # system::user Utilisateur : NIRVANA\gentilkiwi mimikatz # !sysToken Ouverture du pilote mimikatz : OK processes::ExchangeToken/FullPrivilegeNT6 'mimikatz.exe' trouvé :) - PID 18080 Token échangé :) mimikatz # system::user Utilisateur : NIRVANA\KIWI$ mimikatz # privilege::list SeCreateTokenPrivilege SeAssignPrimaryTokenPrivilege SeLockMemoryPrivilege ENABLED_BY_DEFAULT ENABLED SeIncreaseQuotaPrivilege SeTcbPrivilege ENABLED_BY_DEFAULT ENABLED SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeSystemProfilePrivilege ENABLED_BY_DEFAULT ENABLED SeSystemtimePrivilege SeProfileSingleProcessPrivilege ENABLED_BY_DEFAULT ENABLED SeIncreaseBasePriorityPrivilege ENABLED_BY_DEFAULT ENABLED SeCreatePagefilePrivilege ENABLED_BY_DEFAULT ENABLED SeCreatePermanentPrivilege ENABLED_BY_DEFAULT ENABLED SeBackupPrivilege SeRestorePrivilege SeShutdownPrivilege SeDebugPrivilege ENABLED_BY_DEFAULT ENABLED SeAuditPrivilege ENABLED_BY_DEFAULT ENABLED SeSystemEnvironmentPrivilege SeChangeNotifyPrivilege ENABLED_BY_DEFAULT ENABLED SeUndockPrivilege SeManageVolumePrivilege SeImpersonatePrivilege ENABLED_BY_DEFAULT ENABLED SeCreateGlobalPrivilege ENABLED_BY_DEFAULT ENABLED SeTrustedCredManAccessPrivilege SeRelabelPrivilege SeIncreaseWorkingSetPrivilege ENABLED_BY_DEFAULT ENABLED SeTimeZonePrivilege ENABLED_BY_DEFAULT ENABLED SeCreateSymbolicLinkPrivilege ENABLED_BY_DEFAULT ENABLED
privProcesses
Description : Donne tous les privilèges possibles aux processus cmd.exe et mimikatz.exe
Remarque : seulement disponible en NT6 (un bitmap fixe est plus simple à manipuler qu’une structure dynamique)
Exemple : !privProcesses
mimikatz # privilege::list SeShutdownPrivilege SeChangeNotifyPrivilege ENABLED_BY_DEFAULT ENABLED SeUndockPrivilege SeIncreaseWorkingSetPrivilege SeTimeZonePrivilege mimikatz # !privProcesses Ouverture du pilote mimikatz : OK processes::ExchangeToken/FullPrivilegeNT6 'mimikatz.exe' trouvé :) - PID 1664 mimikatz # privilege::list SeCreateTokenPrivilege ENABLED SeAssignPrimaryTokenPrivilege ENABLED SeLockMemoryPrivilege ENABLED SeIncreaseQuotaPrivilege ENABLED SeMachineAccountPrivilege ENABLED SeTcbPrivilege ENABLED SeSecurityPrivilege ENABLED SeTakeOwnershipPrivilege ENABLED SeLoadDriverPrivilege ENABLED SeSystemProfilePrivilege ENABLED SeSystemtimePrivilege ENABLED SeProfileSingleProcessPrivilege ENABLED SeIncreaseBasePriorityPrivilege ENABLED SeCreatePagefilePrivilege ENABLED SeCreatePermanentPrivilege ENABLED SeBackupPrivilege ENABLED SeRestorePrivilege ENABLED SeShutdownPrivilege ENABLED SeDebugPrivilege ENABLED SeAuditPrivilege ENABLED SeSystemEnvironmentPrivilege ENABLED SeChangeNotifyPrivilege ENABLED_BY_DEFAULT ENABLED SeRemoteShutdownPrivilege ENABLED SeUndockPrivilege ENABLED SeSyncAgentPrivilege ENABLED SeEnableDelegationPrivilege ENABLED SeManageVolumePrivilege ENABLED SeImpersonatePrivilege ENABLED SeCreateGlobalPrivilege ENABLED SeTrustedCredManAccessPrivilege ENABLED SeRelabelPrivilege ENABLED SeIncreaseWorkingSetPrivilege ENABLED SeTimeZonePrivilege ENABLED SeCreateSymbolicLinkPrivilege ENABLED