Un dump mémoire du processus lsass.exe extrait d'une machine Windows 7 vous est fourni. Saurez-vous retrouver le mot de passe de l'utilisateur apssis ?
Découverte du fichier
lsass.exe est un exécutable qui est nécessaire pour le bon fonctionnement de Windows. Il assure l'identification des utilisateurs.
Le dump mémoire du processus lsass peut contenir les identifiants de connexions des utilisateurs.
La technique de dump est décrite dans cet article :
Récupération des identifiants
On lance mimikatz et on charge le dump mémoire :
V:\APSSI\lsass>mimikatz.exe
.#####. mimikatz 2.2.0 (x64) #18362 Feb 29 2020 11:13:36
.## ^ ##. "A La Vie, A L'Amour" - (oe.eo)
## / \ ## /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
## \ / ## > http://blog.gentilkiwi.com/mimikatz
'## v ##' Vincent LE TOUX ( vincent.letoux@gmail.com )
'#####' > http://pingcastle.com / http://mysmartlogon.com ***/
mimikatz # sekurlsa::minidump lsass.dmp
Switch to MINIDUMP : 'lsass.dmp'
On extrait les mots de passe du dump...
Mot de passe du compte Apssis : #TOUSCYBERVIGILANTS
