Dumper les creds en mémoire discrètement.

Comment dumper les crédentials windows en mémoire sans faire couiner aucun antivirus. prérequis évidemment, admin local.

 

Etape 1, uploader procdump de m. Russinovich. Procdump est FUD car signé par microsoft :)

Etape 2, dumper le process lsass.exe

 étape 3, cleanup

 étape 4, Sur un tout autre ordinateur que vous contrôlez, sous windows et sans AV qui fait suer.

Attention de respecter la même archi ou tournera le mimikatz; séparez 32 et 64 Bits… et séparez 2K XP 2K3 de Vista, 7, 8 et2K8.

Note: Merci au Gentilkiwi pour sa relecture attentive :)

This entry was posted in Pentest, Windows and tagged , . Bookmark the permalink.

4 Responses to Dumper les creds en mémoire discrètement.

  1. XenocodeRCE says:

    «Etape 1, UPLOADER procdump de m. Russinovich.» Je vais voir le monsieur, je le défonce à coup de pelle avant d’aller sur son ordi et j’héberge le bouzin sur un site tiers ? Ou alors On s’est trompé de mot ? :)

  2. Xels says:

    Salut,
    Pourquoi changer de machine? Vous parlez d’une histoire d’antivirus, mais je ne vois pas pourquoi. A moins que mimikatz ne fasse matcher les antivirus?
    Sinon, plutôt grisant de voir qu’avec une application fournie par MS, on peut retrouver des mdp…. Chouette manip merci!

Leave a Reply

Your email address will not be published. Required fields are marked *

AlphaOmega Captcha Classica  –  Enter Security Code