mimikatz 1.0 vient de sortir en version alpha !

Cette nouvelle version n’est pas une révolution de « l’ancien » mimikatz 0.x, mais une rationalisation du fonctionnement de ce dernier (elle m’apporte surtout beaucoup plus de souplesse lors de son écriture en C/C++)

• http://blog.gentilkiwi.com/downloads/mimikatz_trunk.7z
• http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip

Modules

mimikatz est maintenant organisé autours de modules locaux :

• "standard" ; commandes de base
• crypto ; Cryptographie et certificats
• system ; Gestion système
• process ; Manipulation des processus
• thread ; Manipulation des threads
• service ; Manipulation des services
• privilege ; Manipulation des privilèges
• winmine; Manipulation du démineur de Windows XP (démonstration)
• nogpo ; Pour éviter quelques GPO triviales
• samdump ; Dump de SAM offline
• inject ; Injecteur de librairies
• ts ; Manipulations Terminal Server
• divers ; Fonctions diverses trop petites pour s’émanciper

A part pour le module « standard », la séparation du module et de la fonction appelée se fait avec le séparateur ::
Exemple : inject::process lsass.exe sekurlsa.dll

Librairies

Ce n’est pas forcément le plus discret, mais j’aime injecter des librairies

• sekurlsa ; manipulation des données de sécurités dans LSASS
• klock ; manipulation de bureaux
• kelloworld ; libraire à injecter, pour l’exemple

Pilote

Être administrateur n’est pas toujours suffisant, il peut aussi être intéressant de disposer d’un point d’entrée en mode utilisateur.
Un pilote, mimikatz.sys est donc disponible.

• pilote mimikatz.sys ; manipulation noyau

Les commandes distantes peuvent être appelées en les précédants d’un :

• @ pour les libraires (@ seul clos la connexion à la librairie, et la décharge)
• ! pour le pilote mimikatz (! seul clos la connexion au pilote)