Mimikatz

Mimikatz to usługa dla systemu Windows służąca do wyciągania haseł systemowych ze zrzutu pamięci lub pliku hibernacji. Aby korzystać z aplikacji konieczny jest dostęp administratora.

Główny cel

Usługa wykorzystuje lukę w zabezpieczeniach każdego współczesnego systemu operacyjnego Windows. Pozwala użytkownikom na pozyskanie klucza z pamięci RAM i odszyfrowanie go, w celu uzyskania hasła.

System operacyjny przechowuje poufne dane w postaci chronionych hashy. Nawet wysoce wyspecjalizowane narzędzia deszyfrujące nie są w stanie odgadnąć klucza poprzez atak brute force na systemie. Z drugiej strony niektóre usługi systemu Windows, takie jak sprawdzanie bezpieczeństwa uwierzytelniania i LSASS, wymagają oryginalnego hasła użytkownika w formacie tekstowym.

Przechwytywanie klucza

Dostępne są pliki wykonywalne zarówno dla 32-bitowych, jak i 64-bitowych systemów operacyjnych. Użytkownicy zostaną poproszeni o uruchomienie aplikacji z uprawnieniami administratora. Kolejnym krokiem będzie sekwencyjne wykonanie następujących poleceń: privilege::debug i sekurlsa::logonPasswords full. Lista wszystkich aktywnych użytkowników razem z hasłami będzie widoczna w oknie konsoli.

PowerShell jest konieczny w celu wyodrębnienia klucza ze zrzutu pamięci. Można uruchomić terminal i wpisać Get-Process lsass | Out-Minidump. W folderze systemowym zostanie utworzony plik DMP. Można przerzucić go na inny komputer i wykonać polecenie sekurlsa::minidump z nazwą pliku zrzutu jako argumentem. Kolejnym krokiem może być wpisanie sekurlsa::logonPasswords i uzyskanie dostępu do odszyfrowanych kluczy.

Zawartość

• aplikacja jest w pełni darmowa;
• możliwość przechwytywania haseł systemowych;
• możliwość pozyskiwania klucza ze zrzutu pamięci;
• możliwość wyświetlania listy wszystkich aktywnych użytkowników i haseł;
• kompatybilność z każdą współczesną wersją systemu Windows.