mimikatzmimikatz 1.0 vient de sortir en version alpha !
Cette nouvelle version n’est pas une révolution de « l’ancien » mimikatz 0.x, mais une rationalisation du fonctionnement de ce dernier (elle m’apporte surtout beaucoup plus de souplesse lors de son écriture en C/C++)
- http://blog.gentilkiwi.com/downloads/mimikatz_trunk.7z
- http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
mimikatz est maintenant organisé autours de modules locaux :
- "standard" ; commandes de base
- crypto ; Cryptographie et certificats
- system ; Gestion système
- process ; Manipulation des processus
- thread ; Manipulation des threads
- service ; Manipulation des services
- privilege ; Manipulation des privilèges
- winmine; Manipulation du démineur de Windows XP (démonstration)
- nogpo ; Pour éviter quelques GPO triviales
- samdump ; Dump de SAM offline
- inject ; Injecteur de librairies
- ts ; Manipulations Terminal Server
- divers ; Fonctions diverses trop petites pour s’émanciper
A part pour le module « standard », la séparation du module et de la fonction appelée se fait avec le séparateur ::
Exemple : inject::process lsass.exe sekurlsa.dll
Ce n’est pas forcément le plus discret, mais j’aime injecter des librairies
- sekurlsa ; manipulation des données de sécurités dans LSASS
- klock ; manipulation de bureaux
- kelloworld ; libraire à injecter, pour l’exemple
Être administrateur n’est pas toujours suffisant, il peut aussi être intéressant de disposer d’un point d’entrée en mode utilisateur.
Un pilote, mimikatz.sys est donc disponible.
- pilote mimikatz.sys ; manipulation noyau
Les commandes distantes peuvent être appelées en les précédants d’un :