mimikatz (2/4) : extraction de mots de passe via un dump mémoire (tuto de a à z)
Post on 12-Apr-2018
247 Views
Preview:
TRANSCRIPT
7/21/2019 Mimikatz (2/4) : extraction de mots de passe via un dump mémoire (tuto de a à Z)
http://slidepdf.com/reader/full/mimikatz-24-extraction-de-mots-de-passe-via-un-dump-memoire-tuto-de 1/9
7
@c`cdgtz (>/?) < extrgktcfj oe
`fts oe pgsse í pgrtcr o–ujou`p ou prfkessus I[G[[ (v7.?5)
_utfrcgi kfjèu et rãochã pgr @ckaei oe K^ERFC[CE^ ‛ fktfnre >=7?
G^_CKIE[ G[[FKCE[
7. @c`cdgtz < prãsejtgtcfj, bfjktcfjje`ejt, kfjtre-`esures et prfkessus I[G[[ (icej)
>. @c`cdgtz < extrgktcfj oe `fts oe pgsse í pgrtcr o–uj ou`p ou prfkessus I[G[[ (icej)
;. @c`cdgtz < rãkupãrgtcfj oe `fts oe pgsse vcg @etgspifct et @eterpreter (icej)
?. @c`cdgtz < `gtrcke oe tests oe bfjktcfjje`ejt ej ejvcrfjje`ejt Xcjofws (icej)
7/21/2019 Mimikatz (2/4) : extraction de mots de passe via un dump mémoire (tuto de a à Z)
http://slidepdf.com/reader/full/mimikatz-24-extraction-de-mots-de-passe-via-un-dump-memoire-tuto-de 2/9
>
]rãg`nuie
Ogjs uj grtckie prãkãoejt jfus prãsejtcfjs ie bfjktcfjje`ejt ou ifhckcei @c`cdgtz oãveifppã pgr
Nejlg`cj OEI]S. Jfus gvfjs gcjsc pu kfjstgter que sfj `fouie « sedurisg ´ per`ettgct igrãkupãrgtcfj oe `fts oe pgsse kfjtejus ogjs ie prfkessus I[G[[ oe Xcjofws.
G ig sucte, jfus giifjs prãsejter uj gutre `fouie oe @c`cdgtz per`ettgjt i–extrgktcfj oe `fts oe
pgsse í pgrtcr o–uj « ou`p ´. ]fur cjbfr`gtcfj, uj « ou`p ´ kfjstctue uje extrgktcfj ̀ ã`fcre o–uj
prfkessus ofjjã. Ogjs jftre kgs, i–fnlektcb serg oe rãgicser uj ou`p ou prfkessus I[G[[ gbcj
o–extrgcre et o–gjgiyser sfj kfjteju vcg ie `fouie « `cjcou`p ´ (sfurke). Kette tekajcque g pfur
gvgjtghe oe je oãkiejkaer gukuje gktcfj oãtektgnie pgr ies gjtcvcrus. Oe ke bgct, sfj utcicsgtcfj
prãsejte uj cjtãrìt `gleur ifrs oe ig rãgicsgtcfj o–uj ou`p sur uje `gkacje ocstgjte.
CJOEQ
7. Ou`p ou prfkessus I[G[[ .......................................................................................................................... ;
7.7 Ej ifkgi................................................................................................................................................. ;
7.> G ocstgjke ............................................................................................................................................ 2
>. Extrgktcfj oes `fts oe pgsse vcg @c`cdgtz ............................................................................................... 1
Kfjkiuscfj ........................................................................................................................................................... 3
7/21/2019 Mimikatz (2/4) : extraction de mots de passe via un dump mémoire (tuto de a à Z)
http://slidepdf.com/reader/full/mimikatz-24-extraction-de-mots-de-passe-via-un-dump-memoire-tuto-de 3/9
;
7. Ou`p ou prfkessus I[G[[
]fur cjbfr`gtcfj, i–ejse`nie oes gktcfjs fjt ãtã rãgicsães oepucs uj pfste sfus Xcjofws 8 x2? (sgub
pfur ie pfcjt 7.7.; rãgicsã sfus Xcjofws 1.7.7 x2?) ej utcicsgjt uj kf`pte ifkgi `e`nre ou hrfupe
« Go`cjcstrgteurs ´ oe ig `gkacje kcnie.
C@]F^_GJ_
I–fntejtcfj ou prcvciáhe « syste` ´ pgr uj gttgqugjt per`et o–futrepgsser uj kertgcj jf`nre oe
`ãkgjcs`es oe sãkurctã prãsejts sfus Xcjofws, ofjt ig suppresscfj ou prcvciáhe « oenuh ´ (icej).
7.7 Ej ifkgi
7.7.7 Rcg ]rfkou`p
]fur rãgicser uj « ou`p ´ ej « ifkgi ´ ou prfkessus I[G[[ vcg ie ifhckcei ]rfkou`p <
7. _ãiãkagrhez ]rfkou`p ckc
>. Fuvrez uje kfjsfie OF[ ej tgjt qu–go`cjcstrgteur sur ie pfste kfjkerjã
;. Exãkutez i–gppickgtcfj gvek ies pgrg`átres sucvgjts <
K<Yprfkou`p.exe -gkkepteuig -`g isgss.exe K<Y%KF@]U_E^JG@E%Visgss.o`p >:&7
^e`grque < sc vfus je ocspfsez pgs oes orfcts jãkessgcres, sc ig kfjsfie j–g pgs ãtã fuverte ej tgjt
qu–go`cjcstrgteur fu sc ie prcvciáhe « oenuh ´ g ãtã supprc`ã, i–erreur sucvgjte gppgrgêtrg <
]fur rãkupãrer ies `fts oe pgsse kfjtejus ogjs ie ou`p, ocrchez-vfus gu pfcjt >.
7.7.> Rcg ie hestcfjjgcre oes tîkaes Xcjofws
]fur rãgicser uj « ou`p ´ ej « ifkgi ´ ou prfkessus I[G[[ í pgrtcr ou hestcfjjgcre oes tîkaes <
7.
Fuvrez ie hestcfjjgcre oes tîkaes et ocrchez-vfus ogjs i–fjhiet ]rfkessus. [c i–UGK est gktcvã,kicquez sur Gbbckaez ies prfkessus oe tfus ies utcicsgteurs ej ngs í hgukae
7/21/2019 Mimikatz (2/4) : extraction de mots de passe via un dump mémoire (tuto de a à Z)
http://slidepdf.com/reader/full/mimikatz-24-extraction-de-mots-de-passe-via-un-dump-memoire-tuto-de 4/9
?
>. Bgctes uj kick orfct sur ie prfkessus I[G[[ : Krãer uj bckacer oe vcoghe
;. [c i–fpãrgtcfj s–est ncej oãrfuiãe, ie `essghe sucvgjt gppgrgêtrg <
^e`grque < sc vfus je ocspfsez pgs oes orfcts jãkessgcres fu sc ie prcvciáhe « oenuh ́ g ãtã supprc`ã,
i–erreur sucvgjte gppgrgêtrg <
]fur rãkupãrer ies `fts oe pgsse kfjtejus ogjs ie ou`p, ocrchez-vfus gu pfcjt >.
7/21/2019 Mimikatz (2/4) : extraction de mots de passe via un dump mémoire (tuto de a à Z)
http://slidepdf.com/reader/full/mimikatz-24-extraction-de-mots-de-passe-via-un-dump-memoire-tuto-de 5/9
5
7.7.; Ej ]fwer[aeii
Ci est ãhgie`ejt pfsscnie oe rãgicser uj ou`p í pgrtcr ou `fouie ]fwer[pifct ãkrct ej ]fwer[aeii . Ke
oerjcer jãkesscte tfutebfcs ]fwer[aeii v; ocspfjcnie oepucs Xcjofws 1 et Xcjofws [erver >=7>.
7. _ãiãkagrhez ie `fouie ]fwer[pifct ckc
>.
Kfpcez ie ofsscer ejtcer ogjs ie rãpertfcre oe `fouies ]fwer[aeii <
%wcjocr%Y[yste`;>YXcjofws]fwer[aeiiYv7.=Y@fouies
;. C`pfrtez ie `fouie
C`pfrt-@fouie ]fwer[pifct
?. Rãrcbcez ig nfjje c`pfrtgtcfj ou `fouie et ses ocbbãrejtes kf``gjoes <
Het-Kf``gjo -@fouie ]fwer[pifct
5. Exãkutez ig kf``gjoe sucvgjte pfur hãjãrer ie ou`p <
Het-]rfkess isgss | Fut-@cjcou`p -Ou`pBcie]gta K<Yte`p
^e`grque < sc vfus je ocspfsez pgs oes orfcts jãkessgcres, sc ig kfjsfie j–g pgs ãtã fuverte ej tgjtqu–go`cjcstrgteur fu sc ie prcvciáhe « oenuh ´ g ãtã supprc`ã, i–erreur sucvgjte gppgrgêtrg <
7/21/2019 Mimikatz (2/4) : extraction de mots de passe via un dump mémoire (tuto de a à Z)
http://slidepdf.com/reader/full/mimikatz-24-extraction-de-mots-de-passe-via-un-dump-memoire-tuto-de 6/9
2
7.> G ocstgjke
C@]F^_GJ_
I–UGK e`pìkae i–utcicsgtcfj ou ifhckcei ][exek ujcque`ejt s–ci est utcicsã gvek uj kf`pteifkgi `e`nre ou hrfupe « Go`cjcstrgteurs ´ oe ig `gkacje kcnie. [–ci est utcicsã gvek uj
kf`pte ou of`gcje pigkã ogjs ie hrfupe « Go`cjcstrgteurs ´ oe ig ̀ gkacje kcnie, gifrs i–UGK
serg futrepgssã et ][exek exãkutã
][exek jãkesscte fnichgtfcre`ejt i–gktcvgtcfj ou pgrtghe oe bckacer ej ejtrãe gu jcvegu ou
pgre-beu pfur bfjktcfjjer ([@N - ??5)
]fur rãgicser uj ou`p í ocstgjke, ci est jãkessgcre oe ocspfser o–uj gkkás ocstgjt í uje `gkacje.
Kette gktcfj c`picque oe kfjjgêtre sfj C] fu sfj jf` OJ[ et oe respekter ig prfkãoure sucvgjte <
7. _ãiãkagrhez ies futcis sucvgjts ogjs ie `ì`e ofsscer <
f ][exek (icej)
f ]rfkou`p (icej)
>. ^ãkupãrez ies coejtcbcgjts o–uj utcicsgteur ou of`gcje fu o–uj kf`pte ifkgi. ]gssez
ocrekte`ejt í i–ãtgpe ? sc<
f
I–utcicsgteur ou of`gcje est oãlí `e`nre ou hrfupe « Go`cjcstrgteurs ´ oe ig
`gkacje kcnies FU
f Ie kf`pte ifkgi est `e`nre ou hrfupe « Go`cjcstrgteurs ´ oe ig `gkacje kcnie et
i–UGK est oãsgktcvã
;. ]igkez i–utcicsgteur ou of`gcje ogjs ie hrfupe « Go`cjcstrgteurs ´ oe ig `gkacje kcnie gbcj
o–futrepgsser i–UGK < jet ifkgihrfup 9 Go`cjcstrgtfr hrfup: /goo 9 of`gcjYuser :
f ^e`grque < fj kfjvcejorg que ig ocbbckuitã oe kette ãtgpe rãscoe í exãkuter kette
kf``gjoe sgjs ][exek (pucsqu–ci est gktueiie`ejt nifquã pgr i–UGK ) sur ig `gkacje
kcnie gbcj oe pgsser í i–ãtgpe sucvgjte
?. Exãkutez ig kf``gjoe kc-oessfus ej prejgjt sfcj o–utcicser i–fptcfj T-sP gbcj o–exãkuter
i–gppickgtcfj ]rfkou`p ej tgjt que « syste` ´ <
]sExek.exe /gkkepteuig YY9 C] : ‛ u 9 of`gcjeYuser : ‛ p 9 pgsswfro : -s -k prfkou`p.exe -gkkepteuig -
`g isgss.exe K<Y%KF@]U_E^JG@E%Visgss.o`p >:&7
7/21/2019 Mimikatz (2/4) : extraction de mots de passe via un dump mémoire (tuto de a à Z)
http://slidepdf.com/reader/full/mimikatz-24-extraction-de-mots-de-passe-via-un-dump-memoire-tuto-de 7/9
8
5. ^ãkupãrez ejsucte ie ou`p hãjãrã ej utcicsgjt (pgr exe`pie) uj pgrtghe go`cjcstrgtcb (YYK$)
^e`grque < sc i–UGK est gktcvã et sc vfus utcicsez uj kf`pte ifkgi `e`nre ou hrfupe
« Go`cjcstrgteurs ´, uje erreur gppgrgêtrg. Oe ig `ì`e bgèfj, i–erreur í ig bcj ou pfcjt 7.7.7
gppgrgêtrg sc ie prcvciáhe oenuh g ãtã supprc`ã.
]fur gjgiyser et rãkupãrer ies `fts oe pgsse kfjtejus ogjs ie ou`p, ocrchez-vfus gu pfcjt >.
7/21/2019 Mimikatz (2/4) : extraction de mots de passe via un dump mémoire (tuto de a à Z)
http://slidepdf.com/reader/full/mimikatz-24-extraction-de-mots-de-passe-via-un-dump-memoire-tuto-de 8/9
1
>. Extrgktcfj oes `fts oe pgsse vcg @c`cdgtz
G ke stgoe vfus oevez gvfcr rãkupãrã uj ou`p ou prfkessus I[G[[ sur vftre pfste oe trgvgci. Jfus
giifjs `gcjtejgjt extrgcre ies `fts oe pgsse kfjtejus ogjs ke bckacer í i–gcoe ou `fouie @cjcou`p
oe @c`cdgtz. ]rejez sfcj oe ncej respekter ig `gtrcke kc-oessfus pfur rãgicser i–extrgktcfj (sfurke) <
Fuvrez ejsucte ie ifhckcei @c`cdgtz et exãkutez ies kf``gjoes sucvgjtes pfur extrgcte ies `fts oe
pgsse kfjtejus ogjs ie ou`p <
sedurisg<<`cjcou`p 9bckacer ou`p *.o`p:
sedurisg<<ifhfj]gsswfros
7/21/2019 Mimikatz (2/4) : extraction de mots de passe via un dump mémoire (tuto de a à Z)
http://slidepdf.com/reader/full/mimikatz-24-extraction-de-mots-de-passe-via-un-dump-memoire-tuto-de 9/9
3
Kfjkiuscfj
Ig rãgicsgtcfj o–uj « ou`p ´ ou prfkessus I[G[[ kfjstctue ofjk uj vekteur o–ejtrãe pftejtcei pfur
ies agkders gbcj oe oãrfner ies `fts oe pgsse ej `ã`fcre. Et sc ies `fyejs oe prftektcfj prãsejts
gu secj oe Xcjofws kfjstctuejt uj pre`cer jcvegu oe sãkurctã, ci reste qu–cis serfjt rgpcoe`ejt
futrepgssãs sc uje pfictcque oe prcvciáhe « bcje ´ j–est pgs gppicquãe gu secj oe i–frhgjcsgtcfj.
Ej oãbcjctcve, i–UGK reprãsejte uj `fyej oe prftektcfj ebbckgke ujcque`ejt sc i–utcicsgteur kfurgjt
je ocspfse pgs oe prcvciáhes o–go`cjcstrgtcfj sur sfj pfste oe trgvgci. Ogjs ke sejs, i–utcicsgtcfj o–uj
kf`pte oe of`gcje sgjs prcvciáhes o–go`cjcstrgtcfj et o–uj sekfjo kf`pte oe of`gcje gvek oes
prcvciáhes o–go`cjcstrgtcfj kfjstctue uj kafcx luockceux pfur iutter kfjtre ke type oe `ejgke. Reciiez
tfutebfcs í restrecjore i–fuverture oe sesscfjs « cjtergktcves ´ gvek ie kf`pte í prcvciáhe gbcj que ies
coejtcbcgjts je sfcejt pgs stfkdãs ogjs ie « I[G kgkae ´ (sfurke).
J–aãsctez pgs `–ejvfyer vfs kf``ejtgcres fu retfurs í i–goresse sucvgjte <
`.oekrevfcscer G-^-=-N-G-5 futiffd . kf`
[fyez-ej o–fres et oãlí re`erkcã
top related