Mimikatz

Mimikatz, bellek dökümünden veya hazırda bekletme dosyasından sistem parolalarını çekmeye yarayan bir Windows programıdır. Uygulamayı kullanmak için yönetici hesabına erişim gerekir.

Kullanım yeri

Bu araç, tüm modern Windows işletim sistemlerinde bulunan bir güvenlik açığını kullanır. Çeşitli anahtar ifadeleri RAM’den çıkarıp çözümleyerek ilgili şifreyi elde etmenizi sağlar.

İşletim sisteminiz tüm hassas verilerinizi hash denilen yapılarda elde edilse de çözülmesi zor şekilde depolar. Anahtar ifadeye yönelik hazırlanmış şifre çözme araçları kullanılsa dahi bu ifadeleri tahmin etmek epey zordur. Ancak kimlik doğrulama güvenlik kontrolleri ve LSASS gibi bazı Windows hizmetleri orijinal kullanıcı parolasının düz metin biçiminde saklanmasını gerektirir.

Anahtar ifade yakalama

Programın hem 32 hem de 64 bit işletim sistemleri ile uyumlu sürümleri bulunur. Uygun dosyayı indirdikten sonra programı yönetici olarak çalıştırırsınız. Sonra şu komutları sırayla girersiniz: “privilege::debug” ve “sekurlsa::logonPasswords full”. Bunları yaptığınızda tüm aktif kullanıcıların listesi ve parolaları komut penceresinde görüntülenir.

Anahtarı bellek dökümünden çıkarmak için PowerShell kullanırsınız. Bunun için PowerShell uygulamasını çalıştırıp “Get-Process lsass | Out-Minidump” komutunu girersiniz. Sistem klasöründe DMP uzantılı bir dosya oluşturulur. Bunu başka bir bilgisayara aktarabilir ve “sekurlsa::minidump” komutunu döküm dosyası adıyla argüman olarak çalıştırabilirsiniz. Bunu takiben “sekurlsa::logonPasswords” yazarsanız şifresi çözülmüş anahtarlara erişmi olursunuz.