Voici un outil multifonction gratuit pour le moins complexe dans sa conception mais fort simple à utiliser.
☤mimikatz
→ Téléchargez, dé-zippez & exécutez mimikatz.exe
Véritable couteau suisse, les fonctionnalités sont réparties dans des modules à charger :
♗ sekurlsa
♗ standard
♗ crypto
♗ divers
♗ handle
♗ inject
♗ kerberos
♗ nogpo
♗ privilege
♗ process
♗ samdump
♗ service
♗ system
♗ thread
♗ ts
♗ impersonate
♗ efs
Je commence d'abord par m'octroyer des privilèges avec privilege::debug
Dans cette démonstration, je ne vais charger que le module sekurlsa
Dump des sessions courantes par providers LSASS
msv - énumère les sessions courantes du provider MSV1_0
wdigest - énumère les sessions courantes du provider WDigest
kerberos - énumère les sessions courantes du provider Kerberos
tspkg - énumère les sessions courantes du provider TsPkg
livessp - énumère les sessions courantes du provider LiveSSP
ssp - énumère les sessions courantes du provider SSP (msv1_0)
logonPasswords - énumère les sessions courantes des providers disponibles
searchPasswords - recherche directement dans les segments mémoire de LSASS des mots de passes
( LSASS = Local Security Authority Subsystem )
J'utilise sekurlsa::searchPasswords pour scanner les segments mémoire.
Le mot de passe "Administrateur" de la machine "H4X0RK1DZ" est : "HyPeR-C0MpL3x"
La commande sekurlsa::logonPasswords permet d'afficher les hash aux formats LM / NTLM.
Bien entendu, d'autres informations peuvent être récupérées, notamment depuis le module samdump
En possession de ces hash, il est possible de mener des attaques par force brute à distance ou hors-ligne, comme expliqué dans l'article Comment casser hash LM/NTLM de vos mots de passe Windows ?