Mimikatz (2/4) : extraction de mots de passe via un dump mémoire (tuto de a à Z)

7/21/2019 Mimikatz (2/4) : extraction de mots de passe via un dump mémoire (tuto de a à Z)

http://slidepdf.com/reader/full/mimikatz-24-extraction-de-mots-de-passe-via-un-dump-memoire-tuto-de 1/9

7

@c`cdgtz (>/?) < extrgktcfj oe

`fts oe pgsse í pgrtcr o–ujou`p ou prfkessus I[G[[ (v7.?5)

_utfrcgi kfjèu et rãochã pgr @ckaei oe KÊRFC[CE^ ‛ fktfnre >=7?

G^_CKIE[ G[[FKCE[

7. @c`cdgtz < prãsejtgtcfj, bfjktcfjjeèjt, kfjtre-èsures et prfkessus I[G[[ (icej)

>. @c`cdgtz < extrgktcfj oe `fts oe pgsse í pgrtcr o–uj ou`p ou prfkessus I[G[[ (icej)

;. @c`cdgtz < rãkupãrgtcfj oe `fts oe pgsse vcg @etgspifct et @eterpreter (icej)

?. @c`cdgtz < `gtrcke oe tests oe bfjktcfjjeèjt ej ejvcrfjjeèjt Xcjofws (icej)

http://fr.scribd.com/doc/235639383/Mimikatz-presentation-fonctionnement-et-contre-mesures-tuto-de-A-a-Z



http://fr.scribd.com/doc/241252231/Mimikatz-extraction-de-mots-de-passe-via-un-dump-memoire-tuto-de-a-a-Z



https://fr.scribd.com/doc/242208711/Mimikatz-3-4-recuperation-de-mot-de-passe-via-Metasploit-et-Meterpreter



https://fr.scribd.com/doc/242208973/Mimikatz-4-4-matrice-de-tests-de-fonctionnement-tuto-de-A-a-Z









>

]rãg`nuie

Ogjs uj grtckie prãkãoejt jfus prãsejtcfjs ie bfjktcfjjeèjt ou ifhckcei @c`cdgtz oãveifppã pgr

Nejlg`cj OEI]S. Jfus gvfjs gcjsc pu kfjstgter que sfj `fouie « sedurisg ´ perèttgct igrãkupãrgtcfj oe `fts oe pgsse kfjtejus ogjs ie prfkessus I[G[[ oe Xcjofws.

G ig sucte, jfus giifjs prãsejter uj gutre `fouie oe @c`cdgtz perèttgjt i–extrgktcfj oe `fts oe

pgsse í pgrtcr o–uj « ou`p ´. ]fur cjbfr`gtcfj, uj « ou`p ´ kfjstctue uje extrgktcfj ̀ ã`fcre o–uj

prfkessus ofjjã. Ogjs jftre kgs, i–fnlektcb serg oe rãgicser uj ou`p ou prfkessus I[G[[ gbcj

o–extrgcre et o–gjgiyser sfj kfjteju vcg ie `fouie « `cjcou`p ´ (sfurke). Kette tekajcque g pfur

gvgjtghe oe je oãkiejkaer gukuje gktcfj oãtektgnie pgr ies gjtcvcrus. Oe ke bgct, sfj utcicsgtcfj

prãsejte uj cjtãrìt `gleur ifrs oe ig rãgicsgtcfj o–uj ou`p sur uje `gkacje ocstgjte.

CJOEQ

7. Ou`p ou prfkessus I[G[[ .......................................................................................................................... ;

7.7 Ej ifkgi................................................................................................................................................. ;

7.> G ocstgjke ............................................................................................................................................ 2

>. Extrgktcfj oes `fts oe pgsse vcg @c`cdgtz ............................................................................................... 1

Kfjkiuscfj ........................................................................................................................................................... 3




http://blog.gentilkiwi.com/securite/mimikatz/minidump







;

7. Ou`p ou prfkessus I[G[[

]fur cjbfr`gtcfj, i–ejse`nie oes gktcfjs fjt ãtã rãgicsães oepucs uj pfste sfus Xcjofws 8 x2? (sgub

pfur ie pfcjt 7.7.; rãgicsã sfus Xcjofws 1.7.7 x2?) ej utcicsgjt uj kf`pte ifkgi è`nre ou hrfupe

« Go`cjcstrgteurs ´ oe ig `gkacje kcnie.

C@]F^_GJ_

I–fntejtcfj ou prcvciáhe « syste` ´ pgr uj gttgqugjt perèt o–futrepgsser uj kertgcj jf`nre oe

`ãkgjcsès oe sãkurctã prãsejts sfus Xcjofws, ofjt ig suppresscfj ou prcvciáhe « oenuh ´ (icej).

7.7 Ej ifkgi

7.7.7 Rcg ]rfkou`p

]fur rãgicser uj « ou`p ´ ej « ifkgi ´ ou prfkessus I[G[[ vcg ie ifhckcei ]rfkou`p <

7. _ãiãkagrhez ]rfkou`p ckc

>. Fuvrez uje kfjsfie OF[ ej tgjt qu–go`cjcstrgteur sur ie pfste kfjkerjã

;. Exãkutez i–gppickgtcfj gvek ies pgrg`átres sucvgjts <

K<Yprfkou`p.exe -gkkepteuig -`g isgss.exe K<Y%KF@]U_E^JG@E%Visgss.o`p >:&7

ê`grque < sc vfus je ocspfsez pgs oes orfcts jãkessgcres, sc ig kfjsfie j–g pgs ãtã fuverte ej tgjt

qu–go`cjcstrgteur fu sc ie prcvciáhe « oenuh ´ g ãtã supprc`ã, i–erreur sucvgjte gppgrgêtrg <

]fur rãkupãrer ies `fts oe pgsse kfjtejus ogjs ie ou`p, ocrchez-vfus gu pfcjt >.

7.7.> Rcg ie hestcfjjgcre oes tîkaes Xcjofws

]fur rãgicser uj « ou`p ´ ej « ifkgi ´ ou prfkessus I[G[[ í pgrtcr ou hestcfjjgcre oes tîkaes <

7.

Fuvrez ie hestcfjjgcre oes tîkaes et ocrchez-vfus ogjs i–fjhiet ]rfkessus. [c i–UGK est gktcvã,kicquez sur Gbbckaez ies prfkessus oe tfus ies utcicsgteurs ej ngs í hgukae

http://msdn.microsoft.com/en-us/library/windows/hardware/ff541528%28v=vs.85%29.aspx



http://technet.microsoft.com/en-us/sysinternals/dd996900.aspx







?

>. Bgctes uj kick orfct sur ie prfkessus I[G[[ : Krãer uj bckacer oe vcoghe

;. [c i–fpãrgtcfj s–est ncej oãrfuiãe, ie èssghe sucvgjt gppgrgêtrg <

ê`grque < sc vfus je ocspfsez pgs oes orfcts jãkessgcres fu sc ie prcvciáhe « oenuh ́ g ãtã supprc`ã,

i–erreur sucvgjte gppgrgêtrg <

]fur rãkupãrer ies `fts oe pgsse kfjtejus ogjs ie ou`p, ocrchez-vfus gu pfcjt >.



5

7.7.; Ej ]fwer[aeii

Ci est ãhgieèjt pfsscnie oe rãgicser uj ou`p í pgrtcr ou `fouie ]fwer[pifct ãkrct ej ]fwer[aeii . Ke

oerjcer jãkesscte tfutebfcs ]fwer[aeii v; ocspfjcnie oepucs Xcjofws 1 et Xcjofws [erver >=7>.

7. _ãiãkagrhez ie `fouie ]fwer[pifct ckc

>.

Kfpcez ie ofsscer ejtcer ogjs ie rãpertfcre oe `fouies ]fwer[aeii <

%wcjocr%Y[yste`;>YXcjofws]fwer[aeiiYv7.=Y@fouies

;. C`pfrtez ie `fouie

C`pfrt-@fouie ]fwer[pifct

?. Rãrcbcez ig nfjje c`pfrtgtcfj ou `fouie et ses ocbbãrejtes kf``gjoes <

Het-Kf``gjo -@fouie ]fwer[pifct

5. Exãkutez ig kf``gjoe sucvgjte pfur hãjãrer ie ou`p <

Het-]rfkess isgss | Fut-@cjcou`p -Ou`pBcie]gta K<Yte`p

ê`grque < sc vfus je ocspfsez pgs oes orfcts jãkessgcres, sc ig kfjsfie j–g pgs ãtã fuverte ej tgjtqu–go`cjcstrgteur fu sc ie prcvciáhe « oenuh ´ g ãtã supprc`ã, i–erreur sucvgjte gppgrgêtrg <

https://github.com/mattifestation/PowerSploit






2

7.> G ocstgjke

C@]F^_GJ_

I–UGK e`pìkae i–utcicsgtcfj ou ifhckcei ][exek ujcqueèjt s–ci est utcicsã gvek uj kf`pteifkgi è`nre ou hrfupe « Go`cjcstrgteurs ´ oe ig `gkacje kcnie. [–ci est utcicsã gvek uj

kf`pte ou of`gcje pigkã ogjs ie hrfupe « Go`cjcstrgteurs ´ oe ig ̀ gkacje kcnie, gifrs i–UGK

serg futrepgssã et ][exek exãkutã

][exek jãkesscte fnichgtfcreèjt i–gktcvgtcfj ou pgrtghe oe bckacer ej ejtrãe gu jcvegu ou

pgre-beu pfur bfjktcfjjer ([@N - ??5)

]fur rãgicser uj ou`p í ocstgjke, ci est jãkessgcre oe ocspfser o–uj gkkás ocstgjt í uje `gkacje.

Kette gktcfj c`picque oe kfjjgêtre sfj C] fu sfj jf` OJ[ et oe respekter ig prfkãoure sucvgjte <

7. _ãiãkagrhez ies futcis sucvgjts ogjs ie `ìè ofsscer <

f ][exek (icej)

f ]rfkou`p (icej)

>. ^ãkupãrez ies coejtcbcgjts o–uj utcicsgteur ou of`gcje fu o–uj kf`pte ifkgi. ]gssez

ocrekteèjt í i–ãtgpe ? sc<

f

I–utcicsgteur ou of`gcje est oãlí è`nre ou hrfupe « Go`cjcstrgteurs ´ oe ig

`gkacje kcnies FU

f Ie kf`pte ifkgi est è`nre ou hrfupe « Go`cjcstrgteurs ´ oe ig `gkacje kcnie et

i–UGK est oãsgktcvã

;. ]igkez i–utcicsgteur ou of`gcje ogjs ie hrfupe « Go`cjcstrgteurs ´ oe ig `gkacje kcnie gbcj

o–futrepgsser i–UGK < jet ifkgihrfup 9 Go`cjcstrgtfr hrfup: /goo 9 of`gcjYuser :

f ê`grque < fj kfjvcejorg que ig ocbbckuitã oe kette ãtgpe rãscoe í exãkuter kette

kf``gjoe sgjs ][exek (pucsqu–ci est gktueiieèjt nifquã pgr i–UGK ) sur ig `gkacje

kcnie gbcj oe pgsser í i–ãtgpe sucvgjte

?. Exãkutez ig kf``gjoe kc-oessfus ej prejgjt sfcj o–utcicser i–fptcfj T-sP gbcj o–exãkuter

i–gppickgtcfj ]rfkou`p ej tgjt que « syste` ´ <

]sExek.exe /gkkepteuig YY9 C] : ‛ u 9 of`gcjeYuser : ‛ p 9 pgsswfro : -s -k prfkou`p.exe -gkkepteuig -

`g isgss.exe K<Y%KF@]U_E^JG@E%Visgss.o`p >:&7

http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx










8

5. ^ãkupãrez ejsucte ie ou`p hãjãrã ej utcicsgjt (pgr exe`pie) uj pgrtghe go`cjcstrgtcb (YYK$)

ê`grque < sc i–UGK est gktcvã et sc vfus utcicsez uj kf`pte ifkgi è`nre ou hrfupe

« Go`cjcstrgteurs ´, uje erreur gppgrgêtrg. Oe ig `ìè bgèfj, i–erreur í ig bcj ou pfcjt 7.7.7

gppgrgêtrg sc ie prcvciáhe oenuh g ãtã supprc`ã.

]fur gjgiyser et rãkupãrer ies `fts oe pgsse kfjtejus ogjs ie ou`p, ocrchez-vfus gu pfcjt >.



1

>. Extrgktcfj oes `fts oe pgsse vcg @c`cdgtz

G ke stgoe vfus oevez gvfcr rãkupãrã uj ou`p ou prfkessus I[G[[ sur vftre pfste oe trgvgci. Jfus

giifjs `gcjtejgjt extrgcre ies `fts oe pgsse kfjtejus ogjs ke bckacer í i–gcoe ou `fouie @cjcou`p

oe @c`cdgtz. ]rejez sfcj oe ncej respekter ig `gtrcke kc-oessfus pfur rãgicser i–extrgktcfj (sfurke) <

Fuvrez ejsucte ie ifhckcei @c`cdgtz et exãkutez ies kf``gjoes sucvgjtes pfur extrgcte ies `fts oe

pgsse kfjtejus ogjs ie ou`p <

sedurisg<<`cjcou`p 9bckacer ou`p *.o`p:

sedurisg<<ifhfj]gsswfros







3

Kfjkiuscfj

Ig rãgicsgtcfj o–uj « ou`p ´ ou prfkessus I[G[[ kfjstctue ofjk uj vekteur o–ejtrãe pftejtcei pfur

ies agkders gbcj oe oãrfner ies `fts oe pgsse ej `ã`fcre. Et sc ies `fyejs oe prftektcfj prãsejts

gu secj oe Xcjofws kfjstctuejt uj pre`cer jcvegu oe sãkurctã, ci reste qu–cis serfjt rgpcoeèjt

futrepgssãs sc uje pfictcque oe prcvciáhe « bcje ´ j–est pgs gppicquãe gu secj oe i–frhgjcsgtcfj.

Ej oãbcjctcve, i–UGK reprãsejte uj `fyej oe prftektcfj ebbckgke ujcqueèjt sc i–utcicsgteur kfurgjt

je ocspfse pgs oe prcvciáhes o–go`cjcstrgtcfj sur sfj pfste oe trgvgci. Ogjs ke sejs, i–utcicsgtcfj o–uj

kf`pte oe of`gcje sgjs prcvciáhes o–go`cjcstrgtcfj et o–uj sekfjo kf`pte oe of`gcje gvek oes

prcvciáhes o–go`cjcstrgtcfj kfjstctue uj kafcx luockceux pfur iutter kfjtre ke type oe èjgke. Reciiez

tfutebfcs í restrecjore i–fuverture oe sesscfjs « cjtergktcves ´ gvek ie kf`pte í prcvciáhe gbcj que ies

coejtcbcgjts je sfcejt pgs stfkdãs ogjs ie « I[G kgkae ´ (sfurke).

J–aãsctez pgs `–ejvfyer vfs kf`èjtgcres fu retfurs í i–goresse sucvgjte <

`.oekrevfcscer G-^-=-N-G-5 futiffd . kf`

[fyez-ej o–fres et oãlí reèrkcã

http://technet.microsoft.com/en-us/library/jj852209.aspx




Documents

Mimikatz (2/4) : extraction de mots de passe via un dump mémoire (tuto de a à Z)