mimikatz, utilisateurs logués uniquement ?

mimikatz, utilisateurs logués uniquement ? - Systèmes & Réseaux Pro

Marsh Posté le 07-07-2017 à 11:18:56    

Qui peut confirmer/infirmer que Mimikatz ne permet de récupérer en clair que les MDP des sessions ouvertes sur l'OS ?

Message cité 1 fois
Reply

Marsh Posté le 07-07-2017 à 11:18:56   

Reply

Marsh Posté le 07-07-2017 à 11:26:53    

ShonGail a écrit :

Qui peut confirmer/infirmer que Mimikatz ne permet de récupérer en clair que les MDP des sessions ouvertes sur l'OS ?


De ce que j'ai lu, il permet de récupérer les identifiants stockés en cache.
Donc également les identifiants pour ouvrir des partages, des choses comme ça.

Message cité 1 fois

---------------
Truez zo marv, karantez zo interet. \\ Kement-se zo evit lakaat ar sod da gomz hag ar fur da devel.
Reply

Marsh Posté le 07-07-2017 à 11:29:14    

lire aussi : http://connect.ed-diamond.com/MISC [...] e-Mimikatz
 

Citation :

L'attaque « pass-the-pass » consiste à récupérer les mots de passe en clair contenus dans la mémoire des utilisateurs s'étant logués sur le système. Elle est implémentée dans le module sekurlsa de Mimikatz, exploitant le processus LSASS afin d'extraire les mots de passe contenus dans les services suivants :
 
- tspkg ;
 
- wdigest ;
 
- livessp ;
 
- kerberos ;
 
- msv1_0.
 
Ces services stockent en mémoire les identifiants utilisateur (y compris son mot de passe) lors de la phase d'ouverture de session afin d'assurer un mécanisme de Single-Sign-On (SSO) de Windows. Il s'agit de « Security Service Providers » (SSP) chargés dans le processus LSASS.
 
Le mot de passe n'est pas directement stocké en clair, c'est pourquoi il n'est pas possible de les trouver via une simple recherche de caractères dans la mémoire
 
[....]

Message cité 1 fois

---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 07-07-2017 à 11:41:24    

Nanab a écrit :


De ce que j'ai lu, il permet de récupérer les identifiants stockés en cache.
Donc également les identifiants pour ouvrir des partages, des choses comme ça.


 
 
OK.
Mais du coup, sur une session utilisateur avec des lecteurs qui se montent avec ses identifiants, du coup on ne récupère que son MDP à lui.

Reply

Marsh Posté le 07-07-2017 à 11:42:30    

com21 a écrit :

lire aussi : http://connect.ed-diamond.com/MISC [...] e-Mimikatz
 

Citation :

L'attaque « pass-the-pass » consiste à récupérer les mots de passe en clair contenus dans la mémoire des utilisateurs s'étant logués sur le système. Elle est implémentée dans le module sekurlsa de Mimikatz, exploitant le processus LSASS afin d'extraire les mots de passe contenus dans les services suivants :
 
- tspkg ;
 
- wdigest ;
 
- livessp ;
 
- kerberos ;
 
- msv1_0.
 
Ces services stockent en mémoire les identifiants utilisateur (y compris son mot de passe) lors de la phase d'ouverture de session afin d'assurer un mécanisme de Single-Sign-On (SSO) de Windows. Il s'agit de « Security Service Providers » (SSP) chargés dans le processus LSASS.
 
Le mot de passe n'est pas directement stocké en clair, c'est pourquoi il n'est pas possible de les trouver via une simple recherche de caractères dans la mémoire
 
[....]



 
Perso de ce que j'ai pu tester, la phrase devrait plutôt être "contenus dans la mémoire des utilisateurs loggués présentement sur le système."

Reply

Marsh Posté le 07-07-2017 à 11:47:46    

oui c'est ce que j'avais compris, on récupère le mdp de l'utilisateur actuellement connecté


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed